ランサムウェア対策としてのオフラインバックアップに求められる５つの機能（4.リストアテスト・リストア作業が容易であること）

最終更新日：2024年9月24日

ランサムウェア攻撃は、登場当初は、電子メールにランサムウェアを添付して、不特定多数のメール利用者にばらまき、感染させるという攻撃手法が主流でした。しかし、最近では、より多くの身代金支払い余力を有すると考えられる企業や組織を標的とした、標的型ランサムウェア攻撃（英語では、Human operated ransomware attackと表現されます）攻撃※２が増加しています。この標的型ランサムウェア攻撃の増加によりバックアップで考慮すべき事項について考えます。

標的型ランサムウェア攻撃での代表的な攻撃手法
攻撃者に狙われるバックアップデータ
世代管理された複数世代のオフラインバックアップを行っていれば安全か？
バックアップデータが改変されていないかを確認する方法
リストアテスト・リストア作業実施の頻度
リストアテスト・リストア作業が容易であることとは

標的型ランサムウェア攻撃での代表的な攻撃手法

　それでは、標的型ランサムウェア攻撃はどのように行われるのでしょうか？標的型ランサムウェア攻撃の代表的な攻撃方法には、ネットワーク装置の（既知、未知を含む）脆弱性を使用したネットワーク侵入、脆弱なパスワードの解読を行い正規ユーザーを装ったネットワーク侵入などの攻撃を起点に実施※３等があります。そして、侵入したネットワーク上に存在する端末やサーバー、ネットワーク装置などを洗い出し、それらのシステムの脆弱性等を利用したり※４、場合によっては別の方法で入手したパスワードを利用したり※５、パスワード総当たり攻撃※６等を行い、侵入を試みます※７。侵入に成功すると、より多くの身代金を得るために他の端末やサーバー、特に、認証システム※８やバックアップシステム等への侵入を試み、バックアップデータの暗号化も試みます。侵入に成功すると、実行されているプログラムやOSの脆弱性、設定ミス等を利用し、管理者権限の取得を行います。そして、侵入に成功した端末やサーバーにバックドアを設置し、データを搾取した後、ランサムウェアを展開し、感染させていきます。そして、ランサムウェアを発動させ、データの暗号化を開始します。これらの攻撃は、一瞬で実施されるわけではなく、攻撃者は侵入したネットワーク内に潜伏し※９、各端末やサーバーの動作、ネットワークを流れるデータを監視し、被害を最大化するための活動を行います。このように、標的型ランサムウェア攻撃には、できるだけ多くの身代金を得ることを目的として、被害を最大化するために標的とした企業や組織の状況に合わせて様々な攻撃手法を組み合わせて攻撃するという特徴があります。

攻撃者に狙われるバックアップデータ

　ランサムウェア攻撃で主流になりつつある標的型ランサムウェア攻撃では、侵入したネットワーク内に潜伏し、被害を最大化するためにバックアップデータを攻撃することがあると述べました。それでは、実際のところ、どの程度の割合でバックアップデータが狙われるのでしょうか？米国のVeam Software社の調査※10によると、ランサムウェア攻撃の96%がバックアップを標的にしていたことがわかったと報告しています。そして、ランサムウェア攻撃の標的にされた案件の中で、実際にバックアップデータに改変（暗号化を含む）もしくは削除などの影響のあった割合は、76%に達していると報告しています。つまり、このレポートによるとランサムウェア攻撃でバックアップデータが狙われることがあるのではなく、ほとんどの場合に狙われ、そして、多くの場合実際に被害を受けていることになります。

世代管理された複数世代のオフラインバックアップを行っていれば安全か？

　それでは、世代管理された複数世代のオフラインバックアップを行っていれば、バックアップデータを対象にしたランサムウェア攻撃が行われたとしてもデータは保護できているといえるでしょうか？これは、必要条件ではありますが、十分条件ではないかもしれません。例えば、月～日まで毎日夜間にバックアップを行う７世代のバックアップを行っていたとします。この状況で、攻撃者がバックアップサーバーに侵入し、潜伏していた場合どのような攻撃が可能でしょうか？例えば、攻撃者は、バックアップを開始した直後に一部のファイルを暗号化することが可能です。この暗号化行為を毎日繰り返し実施し、７日間が経過すると全世代のバックアップデータの一部のファイルが暗号化された状態になります。この一部のファイルが例えば、データベースのバックアップファイルの１つであったら、データベースのリストアが失敗してデータが復旧できない状態になります。もちろん、バックアップを開始する前に一部のファイルが暗号化されていたことに気が付かず、バックアップを行った場合でも同様です。重要なのは、データが暗号化など改変されていない完全な状態のデータが保存された、世代管理されたオフラインバックアップが必要であるということです。

バックアップデータが改変されていないかを確認する方法

それでは、バックアップデータに改変されたデータが含まれていないかをどのように気が付けばよいのでしょうか？それは、そのデータを使用するアプリケーションで実際に開いてみて内容が正しいかを確認するテストを行うことで確認することが可能です。リストアテストもしくは完全なリストア作業を行うということです。例えば、ワープロソフト用データのバックアップデータであれば、ワープロソフトで正しく開けるかを確認することになりますし、データベースエンジンのバックアップデータであればデータベースエンジンでエラーなく開くことができるかをテストするということになります。

リストアテスト・リストア作業実施の頻度

バックアップデータがランサムウェア等で暗号化されるなど改変されていないかを確認するには、リストアテストもしくは完全なリストア作業を行う方法があると述べました。それでは、このリストアテストやリストアは、どの程度の頻度で実施すればよいのでしょうか？また、どのような範囲で実施すべきでしょうか？それは、オフラインバックアップを行う都度、完全なリストアを実施することが望ましいということになります。データ数・データ量が少なく労力をかけてでも実施する価値があるデータである場合は、実施すべきではありますが、対象となるデータ数が多く、データ量が大きい場合には、実際には困難である場合も十分に想定されます。そのような場合は、例えば、少なくとも、重要データについて完全には喪失しないという制限をつけることで、「保持しているオフラインバックアップが１サイクルまわるまでに１回は、重要データのリストアテストを実施する」。※11　そして、「システムの大きな更新が発生したり、１月～１年に１度は、完全なリストアを行い確認する」というレベルに頻度を落とすことも可能です。ここで重要なのは、オンラインバックアップも含めた複数の方式でバックアップを行っている場合には、オンラインバックアップを含めず、オフラインバックアップのバックアップサイクルのみで実施頻度を考える必要があるというところです。

リストアテスト・リストア作業が容易であることとは

本記事では、バックアップデータがランサムウェア等で暗号化されるなど改変されていないかを確認するには、リストアテストもしくは完全なリストア作業を行う方法があり、実際には、オフラインバックアップを実施するたび、完全にデータを失わないと制限を設けた場合でも、オフラインバックアップサイクルに１回は、リストアテストを実施する必要があると述べました。つまり、かなりの高頻度で完全なリストアもしくはリストアテストを実施する必要があるのです。これらの作業を継続的に実施していくためには、リストアテスト・リストア作業が容易に実施できる必要があるのです。具体的には、リストアテストまで自動的に実施できるオフラインバックアップシステムを採用する、もしくは、手動で容易にリストアテストシステムに接続しリストアテストが可能なようなリストアテストを想定したオフラインバックアップシステムを採用もしくは構築することがランサムウェア対策としてのバックアップに求められる重要な機能と考えられます。

※１：IPA（独立行政法人　情報処理機構）のHP等でも注意喚起が行われています。
https://www.ipa.go.jp/archive/security/security-alert/2020/ransom.html
※２：人手によるランサムウェア攻撃と呼ばれる場合もありますが、当サイトでは、ばらまき型ランサムウェア攻撃に対する用語として、標的型ランサムウェア攻撃として表現しています。
※３：これらの攻撃では、直接、目的の企業や組織に対して実施される場合もありますが、その企業や組織の関連組織に攻撃を行い侵入し、そのネットワークを経由して目的の企業や組織に侵入する攻撃である場合もあります。これらの攻撃が行われた場合でも被害ができるだけ少なく、または、やりにくくするように、セグメントを分け、通信可能な範囲やポートを制限する、別の認証を課すなどの対策も重要です。
※４：既知の脆弱性については、最新のOSやアプリケーションのセキュリティパッチを適用しておくことで多くの穴を防ぐことが可能ですので、可能な限り最新のセキュリティパッチを適用することをお勧めします。
※５：よくある単語やパスワード（123456やpasswordやadmin、qwerty等）などをパスワードにしている場合や別場所でパスワードが流出している場合は、これらの情報を元にした作成された辞書を用いて侵入が試みられる場合があります。
※６：組合わせうる文字列を順番に試して認証突破を試みる攻撃です。この攻撃をやりにくくするためには、記号や大文字小文字、数字を組み合わせ、規則性がなく十分に長いパスワードを用い、かつ、複数回のパスワード失敗で一定時間アカウントをロックする、各端末のローカルアカウント（特に管理者権限のあるユーザー）のパスワードを共通にしない、認証を２要素化するなどの基本的な取り組みが重要です。
※７：ここに記載している攻撃手法は例示であり、全てではないことに注意してください。攻撃者が環境にあわせて様々な手法を用いて攻撃を試みるのが、標的型攻撃の特徴です。これらの兆候を早期に捉えるために、ネットワーク監視サービスやログ監視サービスを利用することも対策の１つになります。ただし、攻撃が高度化しており、全ての兆候を捉えられるとは限らないことには注意が必要です。
※８：認証サーバーに侵入し、管理者権限を取得することで、アカウント情報を取得し、ネットワーク上のより多くの端末やサーバーの侵入を目指します。
※９：潜伏は、短期間である場合もあれば、数ケ月にわたるような長期間になる場合もあります。
※１０：Veeam社 2024 GLOBAL REPORT Ransomware Trends Lessons learned from 1200 victims and 2500 cyberattacks https://go.veeam.com/wp-ransomware-trends-report-2024
※１１：例えば、月曜から日曜日まで毎日オフラインバックアップを行う場合で７世代個々に全バックアップが保持されている場合には、この７世代の中で１回はリストアテストを実施するということです。もし、各世代に全データが揃っていない場合、例えば、週１回フルバックアップを行い、それ以降は増分をバックアップしているような場合は、フルバックアップ部分が暗号化されてしまうとデータ復旧が出来なくなりますので、そのような場合は、毎日リストアテストを実施するか、バックアップの方法を見直す必要があると考えられます。