個人事業主としてフリーエンジニアをしている木下です。
先月(2017年5月)猛威を振るったWannaCrypt、テレビやネットのニュースでも連日取り上げられて見聞きした方も多いでしょう。WannaCryptに代表される、システムの脆弱性を突いて感染したシステムのデータを暗号化してしまうマルウェアは「ランサムウェア」と呼ばれています。
WannaCryptによってセキュリティ対策とバックアップが注目されています。
ランサムウェアとはこの身代金要求ウィルスの総称です。その中の一つとしてWannaCryptが猛威を振るった、というだけの話にすぎません。明日、あるいは来月、近い未来に別のランサムウェアがサーバアプリケーションの脆弱性を狙って攻撃を開始しないという保証はありません。
実際に標的型のランサムウェアとしてSAMSAM(別名としてSamasやSamsaともいう)というランサムウェアはパッチ未適用のサーバアプリケーションを探し出し、その脆弱性を突いてサーバシステム上のファイルを暗号化したあとで身代金を要求する、という動きをします。
このように既にサーバの脆弱性を突いたランサムウェアはWannaCryptほどの流行はしていなくても存在していることが確認できます。いつこれが流行するかは「感染力が強力になる技術革新がいつ起こるか」に依存しています。
我々企業のシステム管理側としては防御しか手段がありません。つまり、流行前に「もし流行したら…?」を想定した対策は取っておきたい、そういった予防策がこれまでのマルウェアよりもランサムウェアではより重要になっているといえます。
予防が重要というのは、ランサムウェアの動きに起因します。ランサムウェアは、感染し、自身のデータを暗号化されてしまってから、データが暗号化された旨と身代金の要求がメッセージ表示されます。つまり気づいた時点では既にデータは暗号化されて使えない状態になっています。
いままで主流だった情報搾取系のマルウェアであれば部分的にデータを救出しOS環境だけ隔離してしまうことでデータを継続利用することができますが、ランサムウェアはいったん感染してしまうと業務停止に陥ってしまうことが大きな違いです。
まだWannaCryptほどの流行を見せているわけではありませんが、パッチ未適用のサーバアプリケーションの脆弱性を突いてサーバに侵入するランサムウェアは既に存在しています。
マルウェア全般に言えることですが、一つの攻撃手法を別の脆弱性に応用して新たな攻撃に転ずるのはよくある手法です。つまりサーバの脆弱性を突くことによってサーバシステムでランサムウェアが動作しシステムのデータが暗号化される未来は近づいていると考えることができます。
現時点でランサムウェアの主な対策としては、セキュリティ対策として良く言われている「最新のセキュリティパッチを適用する(セキュリティアップデートで最新の状態にする」ことと「ウィルス対策ソフトを導入し、プログラムとウィルスパターンファイルを常に最新に保つ」という点に加えて「バックアップをこまめに取得しておく」という点が新たに加わりました。
ランサムウェア登場前よりバックアップの重要性が増している、よりセキュリティ対策を加味したバックアップを実施しなければならなくなっている、ということが言えます。
ランサムウェア対策にはバックアップが重要、これは良く言われていますが、バックアップを以前と同様のジョブで取得しているだけではランサムウェア対策のためのバックアップとしては不足しているかもしれません。
それはバックアップの取得タイミングが復元ポイントとなるためです。
サーバに毎日ログインして画面を確認する、という方はどれくらい居られるでしょうか?おそらくかなり少数派だと予想しています。
たいていは、エージェントプログラム経由の監視ツールでサーバの正常稼働を確認していたり、ログ内容などをメールで受け取ることでサーバが正常稼働していることを確認したり、といった「リモートでの監視」がほとんどではないかと思います。サーバに毎日ログインする用事はそれほどありません。
しかし、ある日用事があってサーバにログインしたところ、「ランサムウェアに感染したと思しきメッセージが表示された」、と考えると恐ろしいものです。いつから感染していたのかもはや分からないかもしれません。
サーバがランサムウェアに感染してしまった、というケースにおいてはできるだけ早く感染した事実を知れるようにしたいものです。というのは「暗号化された状態のバックアップを取得してしまうことでバックアップが意味のないデータになってしまう。」ことが考えられるからです
ランサムウェア感染に気づかずにバックアップジョブがスケジュール通りに動作してしまうと、ランサムウェアに感染した状態のバックアップデータが、正常データを上書きしてしまうことによってデータの復旧ができないことが予想されます。
ランサムウェアに感染したことを速やかに把握できるようにすることと、感染後に気づいた後に復旧可能なくらいの期間バックアップデータを用意しておくことが重要になってきます。
バックアップはデータの重要性によって一週間ごと、一日ごと、○時間おきといった頻度で自動的に収集するように設定されているのが一般的です。
取得した中で一番新しい(取ったばっかりの)バックアップデータが最新のデータとなりますが、それ以前に取得したデータは「世代」という単位で管理します。
一つ前のバックアップデータであれば「一世代前のバックアップ(データ)」、二つ前のバックアップデータであれば「二世代前のバックアップ(データ)」と呼び、別のデータとして取り扱います。
一日おきにデータバックアップを取得している環境であれば、昨日のバックアップが一世代前、一昨日のバックアップが二世代前、ということになります。
ここで、ランサムウェアに感染してから三日気づかなかった場合、二世代前のバックアップは「既にランサムウェアによって暗号化された状態のバックアップデータ」となり、残念ながらランサムウェアからの復旧に使えるバックアップは残っていないでしょう。
しかし、十世代前までバックアップを取得していれば三日前に暗号化されてしまったデータを四世代より以前のバックアップデータから救出することができるかもしれません。
しかし、取得されていたバックアップデータが古すぎても役に立たないデータとなってしまいます
データの更新頻度によって適切なタイミングでバックアップが取得できていることがバックアップには要求されます。
ランサムウェア云々は関係なく、「バックアップは極力更新直後の新しい状態のデータを取得することが望ましい」というバックアップの基本の話となります。
また、取得しているバックアップデータを何世代かに一回は別のメディアに書き出して、オフライン保管しておくことによって、「オンラインでリアルタイムに感染してしまい、データが損壊してしまう」ことから保護することもできます。
これまでのバックアップは「故障に備えて最新状態のバックアップがあればよい」あるいは「ユーザの操作ミスにより失われたデータの回復ができる、数日前くらいのバックアップ」というそれほど世代管理にはシビアではない環境が多かったと思います。
しかし、今回ご紹介したセキュリティ対策としてのバックアップでは「ランサムウェアの問題を速やかに発見できるか」に加えて、「ランサムウェアに変質させられたデータを復旧できるバックアップの実行」が必要になってきている点がポイントになります。
WannaCryptに限らず、ランサムウェア対策として必要な考え方について解説しました。
これからのセキュリティ対策には「バックアップ管理も必要」、ということです。
今までは故障や操作ミスへのデータ保護でしかなかったバックアップですが、これからはセキュリティ対策として多様なバックアップ手法が要求されてくるのかもしれません。
(C)2022 GMO GlobalSign Holdings K.K.