最終更新日:2024年08月05日
ランサムウェア対策としてのオフラインバックアップに求められる機能の1つ目は、「確実なオフライン化が行えること」です。「確実なオフライン化」とはどういうことなのかについて考えていきます。
なぜオフライン化が必要なのか?
なぜ、ランサムウェア対策に「オフライン」バックアップが必要になるのでしょうか?それは、ランサムウェアがOS動作に必要なファイルを除き、そのサーバーや端末からアクセス可能なファイルを暗号化してしまうためです。ファイルが暗号化されてしまい、その中身を見たり、利用することが出来なくなります。そして、攻撃者は、暗号化の際に使用した鍵(パスワード)を教える代償とそして身代金を要求するためです。しかも、身代金を支払えば必ず鍵が教えてもらえるわけではなく、鍵を入手できずデータの復旧ができない場合もあります。このため、ランサムウェア対策に使用されるバックアップは、確実にデータ復旧できるようにするために、ランサムウェアに感染したサーバーや端末からアクセスできない状態、つまり、オフライン化されていることが求められます。
ばらまき型攻撃と標的型攻撃
ランサムウェア攻撃を行う攻撃者は、無差別に不正メールを送信してマルウェアに感染させたり、VPNルーターの脆弱性やリモートデスクトップポートが解放され侵入可能な状況にあるかなどを無差別にアクセスして調査し、現実的な金額の身代金を多くの組織に請求する「ばらまき型」での攻撃が中心でした。しかし、最近は、あらかじめ攻撃対象の組織を絞り、その攻撃対象の組織により大きな被害を与え、より大きな身代金を請求する「標的型攻撃」が増加しています。具体的には、より多くの身代金を獲得できる可能性がある組織に狙いを絞り、緻密に調査し、既知の脆弱性のみならず、VPNルーターやルーター等で脆弱性パッチが提供されていない、いわゆるゼロデイ脆弱性や、様々な方法で入手したパスワード等も利用して、攻撃対象の組織のネットワークに侵入したり、その組織にあわせた不正メール等をその組織やサプライチェーンに送信してマルウェアに感染させ、端末やサーバーを攻撃・侵入・潜伏し、ネットワーク上に存在するActive Directory等のアカウントサーバーを特定・攻撃・侵入して、アカウントの取得を行い、より多くの端末やサーバーや端末に侵入して暗号化対象を増やしたり、バックアップサーバーを攻撃・侵入して暗号化することにより復旧を困難にし、より多くの被害を与え、1組織からより多くの身代金の獲得を目指すのです。
クラウドへのバックアップであればオフラインになるのか?
クラウドへのバックアップは、ランサムウェア対策のバックアップの有力な選択肢の1つです。ただし、全てのクラウドへのバックアップが、オフラインになるとは限りません。
組織内のネットワークに存在する端末やサーバーからバックアップサービスにアクセスしてアップロードされたデータを変更できる場合は、その端末がのっ取られた場合にクラウドに保管したデータが暗号化される可能性があります。
また、バックアップサービスにデータをアップロードするプログラムがインストールされた端末やサーバーが攻撃者にのっとられた場合には、破壊もしくは暗号化されたデータがアップロードされる可能性があります。これは、複数世代のデータを保持する機能をバックアップサービスが有している場合であってもバックアップが行われる都度過去の世代を抹消してしまう場合には、過去の世代のデータも破壊もしくは暗号化される可能性があることを意味します。
つまり、クラウドにバックアップをとっているから問題がないのではなく、上記のようなリスクに適切に対応されていて、業務上許容できるレベルのリスクになっているクラウドバックアップサービスでることが重要になります。
USBメモリやポータブル型SSD等でバックアップ後取り外し処理を行えばオフラインになるのか?
パソコンでUSBメモリやポータブル型のSSD等を利用してバックアップを取り、OS上から取り外し処理等を行えば、オフラインになるのでしょうか?確かに、論理的にオフラインになり、エクスプローラ等からアクセスできなくなります。しかし、標的型攻撃である場合には、攻撃者はバックアップサーバーに潜伏し調査を行います。この際に、攻撃者は、USBホストドライバの再起動やサーバー自体を再起動する可能性もあります。この場合、USBメモリやポータブル型のSSD等が再認識されてしまい、オンライン状態になってしまいます。
LTOやRDXを使用していればオフラインになるのか?
LTO(Linear Tape-Open)やRDX(Removable Disk Exchange system)はランサムウェア対策のバックアップの有力な選択肢の1つです。LTOやRDXにデータを記録した後、カートリッジを排出することにより、たとえ、バックアップサーバーが攻撃者にのっとられた場合でも、物理的なオフライン化が実現できているため、カートリッジ内のデータが暗号化されることはありません。ただし、カートリッジが排出されておらず、入れっぱなしにした状態では、オンライン状態になるため、バックアップデータが暗号化される可能性があることには注意をすべきです。
また、LTOドライブやRDXドライブの中でオートローダー(カートリッジ自動交換)機能がある装置である場合は、この交換のトリガーをひく(きっかけを作る)機能を有する端末・サーバーが攻撃者にのっとられた場合、この交換機能を利用しカートリッジを順次交換し中身のデータを暗号化される可能性があるので、注意が必要です。
つまり、LTOやRDXを使用しているから安全なのではなく、適切な設計・運用でオフライン化されることが重要になります。実際に、バックアップサーバーに接続されたLTOドライブに装填されていたLTOカートリッジ内のデータが暗号化されてしまった事例が報告されています。※1
仮想環境でネットワークを切断しておけばオフラインになるのか?
仮想環境上でネットワークを切断していても、仮想環境が動作している物理サーバーがオンラインになっていて物理サーバーが攻撃者にのっとられてしまった場合は、仮想環境データ自体を暗号化されてしまう場合もあり、安全とは言えません。実際、仮想環境ごと暗号化されてしまった事例が報告されています。※2
物理ファイルサーバーやNASの電源を切っておけばオフラインになるのか?
バックアップデータを保存する物理ファイルサーバーやNAS(Network Attached Server)の電源を切断しておけば、オフライン化されます。ただし、サーバーやNASでは、利便性のためにネットワーク経由で電源を入れることができる機能(例:Wake On LAN)や電源OFFの状態でもサーバーを遠隔操作できる機能を有している場合があります。これらの機能が有効になっている場合には、ネットワーク経由で電源をONにされバックアップデータ保存先がオンラインになってしまう場合があります。実際に、攻撃者によりネットワーク経由で電源ONにされサーバーへの侵入を試みられた事例が報告されています。※3
L2スイッチやルーターでアクセス制限しておけばオフラインになるのか?
L2スイッチやルーター等でセグメントを分け、アクセス制限を行うことは、ランサムウェア攻撃の被害を小さくするための有効な手段であり、可能な限り実施すべき内容です。ただし、セグメントが分かれていて必要最小限のアクセスに制限しオフラインに近づけているつもりでもルーターのファームウェアやアクセス制限の中で使用される通信を受け取るプログラム自体に既知もしくは未知の脆弱性が存在する場合は、この脆弱性を使用されてセグメントを超えて攻撃が成功してしまい、サーバーがもっとられてしまう可能性が残ります。現在は修正されていますが、OSに存在する通信機能の脆弱性を利用して実行されるWannaCryというランサムウェアでは、攻撃先となる端末のIPアドレスを動的に作成することにより、異なるセグメントであっても、感染した端末がアクセス可能な端末に感染を広げる可能性がありました。
確実なオフライン化とはどういうことか?
それでは、ランサムウェア対策のためのオフラインバックアップに求められるオフライン化とはどのようなものでしょうか?それは、OSやネットワーク機器・サーバー・端末等にに存在する既知・未知の脆弱性を利用され、バックアップサーバーやネットワークが攻撃者にのっとられた場合であっても、オフライン状態が維持されている「確実なオフライン化」です。つまり、オフライン化したバックアップデータの記録先が攻撃者によりオンライン化できないことです。この「確実なオフライン化」がランサムウェア対策への最後の砦となるオフラインバックアップに重要な要素になると考えられます。
※1※2大阪急性期・総合医療センター 情報セキュリティインシデント調査委員会報告書 より
https://www.gh.opho.jp/incident/1.html
https://www.gh.opho.jp/pdf/report_v01.pdf
※3株式会社ドワンゴ 当社サービスへのサイバー攻撃に関するご報告とお詫び より
https://dwango.co.jp/news/5131439897051136/