〇 個人にも被害が及ぶランサムウエア攻撃、バックアップやファイル共有で防ぐ方法。
皆さんは、どんなセキュリティー対策をとっていますか。
筆者は、情報処理技術試験向けの参考書を執筆する機会がある。それらの参考書で試験の頻出問題として取り上げるのが、「情報セキュリティーの3要素」だ。答えは、情報の「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」である。
3要素のそれぞれを一言で表すと、機密性は誰かに情報を見られないようにすること、完全性は情報を改ざんされないこと、可用性は情報を利用したいときに利用できる状態にすること。セキュリティー対策は、この3つを確保・維持することである。
この3要素のうち、可用性はセキュリティーとしてクローズアップされないことが多く、対策も忘れがちになる。この可用性を確保・維持するうえで重要なのが、「バックアップを取ること」だ。しかし、バックアップを用意していないユーザーが多い。
今回は、バックアップを取らないことの危険性や、バックアップの正しい取り方について解説する。
バックアップが無いことによるリスク。
企業の可用性を脅かすリスクと言うと、DDoS攻撃などのサイバー攻撃やシステム障害が取り上げられることが多い。DDoS攻撃とは、攻撃者が標的に対して複数のコンピューターから大量の不正な通信などを行う攻撃である。攻撃を受けると、標的が提供するサービスがダウンしてしまう可能性がある。一方、システム障害はシステムが正常動作しない状態である。サイバー攻撃には攻撃の回避や緩和、障害にはシステムの冗長化や二重化が対策となる。
ここ数年で目立っている可用性に関する脅威は、なんといってもランサムウエアだろう。ランサムウエアとは「Ransom(身代金)」と「Software(ソフトウエア)」を組み合わせた言葉で、感染すると身代金を要求するマルウエアを指す。感染したコンピューターのハードディスクを暗号化し、元に戻してほしかったら身代金を支払え、と脅迫する。最近では、暗号化する前のデータを窃取し、「データを公開されたくなかったら身代金を支払え」と脅す。この2つを同時に行うことを、ランサムウエアの二重脅迫や二重恐喝と呼ぶことが多い。
誰もが被害者になり得る。
ランサムウエアの攻撃対象は、大企業とは限らない。攻撃者が身代金の支払い能力や支払いやすさなどを考えて攻撃しているという話を聞いたことがあるが、実際には攻撃しやすいところを攻撃しているとみている。中小企業の被害件数のほうが多い。
ランサムウエア攻撃には、標的型とばらまき型の2種類がある。ばらまき型は、マルウエアに感染させるファイルを添付したメールを大量に配信し、受信者のコンピューターを感染させようとする。この攻撃では企業の規模に関係なく、個人にも被害が及ぶ。
報道では、大企業が被害に遭ったときの身代金は数億円とも数十億円ともいわれている。ばらまき型の被害では300ドル(約4万円)と低額だったものもある。ただ、金額の大小に関わらず、身代金を支払ってはいけない。身代金を支払えばデータは元通りになる可能性はあるが、窃取したデータを攻撃者が完全に消去するとは限らない。残しておいて再度脅迫に使ってくるかもしれない。また、復旧したデータは改ざんされたリスクが残り、完全性が保証されない。何より、攻撃者に金銭を支払うことは攻撃を助長することにつながる。絶対に払うべきではない。
最も有効な対策はバックアップ。
ランサムウエア攻撃を完全に防ぐことは簡単ではない。ソフトウエアをすべて最新の状態にして脆弱性をなくし、マルウエア対策ソフトを動かし、マルウエア対策のセキュリティー機器を稼働させていても、感染してしまうことはある。
最も重要で有効な対策はデータのバックアップである。バックアップさえあれば、仮にデータを暗号化されたり消されたりしても復元できる。国内でも企業や病院が身代金を支払わずにバックアップを使って、システムを復旧させた例を複数確認している。
理想的なバックアップ方法として「3-2-1ルール」という言葉をよく聞く。簡単に説明しよう。
「3-2-1」の「3」はデータを保存しておく個数を示す。コンピューター内のハードディスクなどに保存されたオリジナルのデータが1つ目で、このほかに2つのデータ、つまりバックアップを取っておく。
「3-2-1」の「2」はメディアの種類を表す。メディアの種類は、ハードディスクのほかに、DVDなどの光メディアやLTOなどのテープメディアなどだ。クラウドストレージも含めてよいだろう。
「3-2-1」の「1」はコンピューターと別場所でオフラインで残しておくデータの数を示す。
ランサムウエアはバックアップまで暗号化する。
どうしてここまでの手の込んだバックアップが必要なのか。それは、ランサムウエア攻撃ではコンピューターのハードディスクだけでなく、ネットワークを介してアクセスできるNAS(ネットワーク接続型ストレージ)やクラウドストレージのデータまで暗号化されるからだ。標的型のランサムウエア攻撃では、オンラインでつながる遠隔地のバックアップデータを暗号化してから、本社のデータを暗号化したという事例もある。
そこで企業では、バックアップを書き換え不可能な光メディアやオフラインのテープメディアに保存したり、書き換えられても世代管理機能で復旧できるクラウドストレージを使ったりするとよいだろう。
個人のランサムウエア対策では、テープドライブを導入したり光メディアを使ったりするのはコストや手間の面で現実的ではない。個人には、クラウドストレージの利用が適しているだろう。
クラウドストレージといっても、パソコンのハードディスクと自動で同期するような設定になっていると、ランサムウエアによって暗号化されたとき、クラウドストレージのデータも書き換わってしまう可能性がある。ただ、データの世代管理が可能なクラウドストレージでは、書き換えられる前の世代に書き戻すことで復旧できる。また、クラウドストレージ上にバックアップ専用のフォルダーを作成し、認証を受けないとアクセスできないように設定しておく。これなら、ランサムウエアでも暗号化できないだろう。
ツールを使った情報共有もランサムウエア対策に。
このほか、筆者はプロジェクトに参加しているとき、SlackやTeamsのようなツールを使って、ほかのメンバーに「資料を更新しましたので共有します。ご意見をください」とメッセージを添えてファイルを共有している。プロジェクトの重要なファイルをすべて共有しておけば、万が一自身のコンピューターがマルウエアに感染してもプロジェクトのデータが失われる心配が少ない。厳密にはバックアップとは呼べないかもしれないが、ランサムウエア対策としては有効だろう。
繰り返しになるが、100%のセキュリティー対策は無い。企業などの組織は情報システム部門がバックアップを用意することもあるが、個人で利用するパソコンのデータは組織に限らず個人で対策すべきだ。パソコン上のすべてのデータをバックアップすることが困難であっても、取り返しのつかない最重要データだけはバックアップを取っておこう。それだけで、被害に遭ったときのダメージは大幅に緩和されるだろう。
