ランサムウェアによる全データロストを回避せよ

HowTo
ランサムウェア被害を最小限に抑えるために

 昨今、ランサムウェア被害が拡大し続けており、中小企業でも被害が報告されています。1度失われたデータは戻りません。これが企業経営に決定的な打撃とならぬよう対策が必要です。ここでは、中小零細企業にむけた現実的な対策方法をご紹介したいと思います。

ランサムウェアとは?

 コンピューターウィルスの一種で、感染したマシンのファイルを暗号化して復号化のための鍵をエサに多額の身代金を要求するのが特徴です。かつてのコンピューターウィルスは、ファイルを削除してしまうなどの愉快犯がほとんどでしたが、ランサムウェアは身元がバレにくいという電子通貨の特質を悪用した犯行で経済犯です。国家間を跨ぐ犯行であることがほとんどであるため、犯人検挙への期待値はかなり低いと考えるべきで、自衛策を講じる必要があります。

ランサムウェアによって失われるデータ

 身代金を支払ったとしても、データを復元できる可能性は低く、実質的にはデータは失われるという結末を迎えます。つまり、”やられたら終わり”です。大切なデータを守るための対策が必要です。

 ランサムウェアは、主に個々のPCを感染させることにより活動を開始します。メールなどに添付された不審なファイルを不用意に実行してしまうなど(これがすべてではありません)で感染します。これをトリガーに、感染PC内部のファイル暗号化して、読み書きができない状態としてしまうのです。実質的なデータロストです。質が悪いのは、その感染PCからアクセス可能なファイルすべてを対象に暗号化を実行することです。具体的にはその感染PCで使用しているNAS上のデータもやられてしまうということです。

ランサムウェアへの対策

 主なトリガーが不用意な添付ファイルの開封や悪意のあるWebページの閲覧などのヒューマンエラーである以上、発生を完全に防ぐことは困難でしょう。それでも、企業が取りうる対策を簡単にまとめてみましょう。第一の目標は「データをロストしない」ことです。国家レベルの機密に触れるファイルであった場合、機密を公開するというような第2の脅迫が届くことがあるかもしれませんが、今回の想定読者層とは異なりますので、そこまで厳密な対策方法には触れません。

社員教育

 ITリテラシーを向上させることは重要ですが、ランサムウェアを防ぐには限界があります。ただ、これはEmotetなどのウィルスへの対応力強化など全方位的かつ全社的な防衛力向上に役立つため、セキュリティ講習会など啓蒙活動の定期開催をおすすめします。

ウィルス対策ソフトの頻繁なアップデート

 Windows10以降をお使いならば、世界最高レベルのウィルス対策ソフトがすでに内部で稼働しています。ただ、これが有効に働くためには最新のパターンデータが必要です。アップデートがしっかり行われるような設定を行うなど、運用の見直しが必要です。それでも、パターンデータが未知の亜種の発生などで対応しきれないこともあり、防備は完全ではありません。

脆弱性への対応アップデート

 ご使用のソフトウェアに内在する脆弱性を起因とする感染経路も存在します。特に広く使用されているライブラリなどは攻撃者のターゲットになりやすい傾向が多いため、これらのアップデートも頻繁に行わなければなりません。

データのバックアップ

 データのバックアップさえあれば、データの全ロストを避けることができます。しかし、このような体制が取られているとは言い難いのが現実です。

 2台のHDDを内蔵するNASをご利用なら、RAID1(ミラーリング)構成が選択されている可能性が高いです。この構成は、1台のHDDが故障した場合でも、もう1台のHDDでデータが保全されているということでデータの安全性を高める手法です。ですが、勘違いしてはいけないのは、ミラーリングはバックアップではないということです。

 単純な例を挙げましょう。ある社員が誤ってファイルを消してしまったとします。このファイルは大変重要なもので、ぜひとも救出しなければなりませんが、ミラーリングはこのようなケースでは無力です。ファイルが消された時点で、HDD1とHDD2の2つのストレージからそのファイルは同時に消滅してしまうからです。バックアップに厳密な定義はありませんが、一般的に、昨日時点のデータのスペアがどこかに存在することが最低条件といえます。現状、NAS1台のみで社内のファイル管理をしている企業は、ランサムウェアを抜きにしても危機的状況にあることを理解してください。

 ランサムウェアが厄介なのは、感染PCのみならず、NAS上のファイルをもその毒牙にかけてしまうところなのです。感染PCからファイルとして認識可能ならば、NASでも Windows Server でも同じことです。したがって、求められるのは社内LANから隔絶したセグメントに設置されたバックアップ機器の準備ということになります。NASに外付けHDDを接続してバックアップするスタイルもメジャーですが、このドライブに対して社内のPCからアクセスができる状態にあるならば、ランサムウェアの餌食です。

クラウドサーバーの利用

 特殊なケースでない限り、ランサムウェアがクラウドストレージにまでその影響を及ぼすことはまずありません。お使いのNASはクラウドストレージへのバックアップ機能を持っているかもしれません。Google ドライブなどとのバックアップ連携を検討してみてください。現在、有効なバックアップ機器を保有していない場合、簡便性、実効性などからいって、有力な選択肢です。

ファイルを守り切る構成を考える

 まず、目的の再確認です。ランサムウェアによる被害は避けがたいとの想定において、社内のデータの全ロストを防ぐことがテーマであり、感染PC内に固有のファイルを救うことまでは含んでいません。重要なデータは日頃からNASに複製を残すことを習慣づける教育を行ってください。また、ランサムウェア感染によって業務が停止することのリスクへの対応も含んでいません。データは保全されても、それをリカバリして正常な業務再開までには相応の時間を要することになりますが、まずはデータを守ることを最優先課題と位置付けます。

 本題です。まず、ランサムウェアに脆弱な社内LAN環境を以下のように想定します。一般的なHDD2台構成のNASが1台だけ存在する想定です。恐るべきことに、危機意識の低い部門単位のNASなどでは、このような貧弱なファイル運用が平然と行われているのが現実です。

データ保全ができないNASの運用構成

 先に述べた通り、この環境の欠点はバックアップ機器が存在しないことです。この状況でPCの1台がランサムウェアに感染した場合、そのPCのデータのみならず、NASのデータも暗号化によって実質的に破壊されてしまい、救いはありません。RAID1構成の2台のHDD内のデータは同時に暗号化されてしまうため、データの保全には役に立ちません。

 

データ保全のために最低限必要なNAS運用構成

ランサムウェアからデータを守るために最低限必要な構成を以下に示します。

 お使いのNASにUSB接続の外付けHDDを接続し、夜間にフルバックアップを取る設定を行います。このような設定は、バッファローやI/Oデータなど国内メーカーのNASと外付けHDDを用意すれば、簡単に構成することができるでしょう。

 ここで絶対にやってはいけないのが、外付けHDDをNASを通してアクセス可能な共有設定をしてしまうことです。過去のデータに気軽にアクセスするために、共有設定をしてしまうケースが儘ありますが、それをやってしまっては、バックアップデータまでもランサムウェアの餌食になってしまいます。

 この構成が出来上がれば、仮にランサムウェアが発症した場合でも、バックアップデータには手出しができずに、データは保全されることになり、目的は達成されます。

残存リスクの把握

 ここまで、NASのデータをランサムウェアから守るために最低限の環境を示しました。しかし、データ保全のための備えはどれだけあっても、やりすぎということはありません。運用が伴わないシステムは、いつの日か容易に破綻してしまうことを覚えておいてください。この最低限の環境で把握しておくべきリスクを以下に列挙します。

  • 障害発生の検知
    機器に障害が発生したことに気付かずに放置してしまうことで、取り返しのつかない事態に発展してしまいます。これが一番恐ろしいことです。いくらディスクを二重化しても、1台のディスクが壊れたことを認知して部品交換を行わなければ、2台目の故障に至った段階で終わりです。バックアップ用HDDについても同様です。
    これを認知するために、機器の障害LEDの点灯などをチェックしやすいように、目につくように配置するほか、管理者に障害通知を発報する事前の設定とチェックを行うことが欠かせません。メーカーと部品交換の保守契約をしたとしても、障害認知ができなければ何の役にも立ちません。RAID1の構成では1台のHDDが障害を起こしても、一見通常利用ができるために、見落としがちです。バックアップ用HDDの障害は、バックアップジョブのエラーログのチェックをするくらいしか検知する手段はないと考えておいたほうがよいでしょう。
  • 障害発生時の対応手順
    もし、ランサムウェアの発症を認知したら、バックアップ用の外付けHDDは速やかにNASから物理的に切り離す必要があります。ランサムウェアによってファイルが暗号化されたとしても、NASはそれを脅威と受け取りません。仮に夜間のバックアップジョブが稼働してしまった場合には、バックアップデータに壊れたデータが上書きされてしまい、The End です。
    残された最後のデータは一刻も早くコピーを残す作業を行うべきです。その際、ランサムウェアが発症したPCが属する社内LANに接続されていたPCを使用すべきではありません。すでにそのマシンも感染している可能性が排除できないからです。拙速にビジネスの再開を優先して安易な方法でリカバリを実行すれば、取り返しのつかないことになりかねません。
  • 外付けHDDのフォーマット形式
    障害発生時にはバックアップデータを外付けHDDからサルベージしてリストア作業を行う必要があります。速やかに作業を行うためには、外付けHDDをWindowsマシンにUSB接続して直接読み書きが行えることが重要です。Windows マシンに接続してNTFS 形式でフォーマットしてからNASに接続し、NAS側から読み書きが行えることを確認しておくことが重要です。NASはLinuxベースのOSで稼働していることが多く、Linuxネイティブなフォーマットを選択してしまうとWindowsでのデータ読み取りが困難となってしまうからです。運用が開始してからは、実際に外付けHDDを取り外して、Windowsマシンに接続してデータが正常に読み書きできるかを確認しておくことです。予行演習をしておけば、いざという時に落ち着いた対応ができるようになります。
  • 別メディアへのバックアップ
    バックアップデータを保持する媒体が1つしかないというのは心許ないものです。別にもう1台の外付けHDDを用意して定期的にコピーしておく、クラウドサーバー上にデータを転送しておくなどの多重的保護措置を講じておくと耐障害性が向上します。

備えあれば憂いなし

 コンピュータが仕事を動かしている現代社会において、マルウェアは大きな経営リスクとして評価すべきです。とはいえ、今回はデータの全ロストを防ぐ主旨において最低限の対応策を示したものなので、少々専門的な用語に辟易したかもしれませんが、明日にも改善に着手ができるはずです。もし、RAID1でデータが保全されていると勘違いをしている人がいるならば、いますぐバックアップ機器を準備してください。データ量がそれほど大きくないのであれば、まずは現在のデータをGoogleドライブなどのクラウドストレージにコピーすることからはじめてください。大切なのは、自社の大事なデータを絶対に守切るという強い意志と実行力です。