ランサムウェア対策の盲点、それは時間軸

ランサムウェアは、ある日突然に攻撃されるから怖いのではなく、知らないうちに攻撃され続けているから怖いのである。このタイムラインを理解せずに、突然発生する攻撃にだけ備えても万全な対策とは言えない。ハッカーは狙いを定めた企業の下調べに時間をかけ、侵入口を探る。侵入を遂げたら、さらに内部で情報収集をする。企業が最大の被害を受けるのは、この段階だが、ハッカーは自らの存在を宣言しないので攻撃は密かに進行する。その後、ハッカーはデータ暗号化の準備を整え、バックアップファイルを復旧不可にするなどのダメージを与えた後に、やっと攻撃を宣言して身代金を要求する。ここまで1年以上かける場合もある。つまり、企業は突発的な攻撃に備えて、頻繁にバックアップを取ったり、社員を教育したりするだけでは不十分で、すでに侵入しているかもしれない敵が手出しできない変更不可の（イミュータブル）バックアップをクリーンな状態で維持しなければならない。

ランサムウェア攻撃のタイムラインを理解しよう

ランサムウェア被害のニュースは、ここ数年で、IT業界の特殊な話題から世間一般を騒がす重大犯罪に扱いが変わり、その怖さが社会に浸透してきています。しかし、その攻撃が実際にどのように展開されるのかを理解している人はさほど多くないようです。

ランサムウェアは、ある日突然、青天の霹靂で被害にあう可能性があるから怖い、と思っている人は少なくないようです。クリックしてはいけないリンクをついうっかりクリックしてしまい、その瞬間、会社のシステムがすべてフリーズ！みたいなイメージでしょうか。企業のセキュリティ担当者でさえ、そのイメージで対策を講じている向きがあります。

しかし、実際には、ランサムウェア攻撃は水面下で密かに進行しています。たとえば、昨年、ファイルトランスファーソフトウェアMOVEitを通じて多くの企業や政府機関に被害を広げたランサムウェアは、実際には昨年発生した犯罪ではありません。被害が明るみに出だしたのが昨年なのであって、ランサムウェアの侵入は2021年にさかのぼると分析されています。

では、ランサムウェア攻撃は、どのような時間軸で展開されるのでしょうか？

サイバー犯罪は一日にしてならず

あえて犯罪者目線で語ると、サイバー犯罪は入念な準備と相当な時間を要する犯罪です。被害者の目にその存在が明らかとなるのは、犯罪の最終段階であるランサム（身代金）要求ステージだけですが、実際にはそれよりはるか以前から犯罪が着々と進行しており、その期間は数年単位におよぶ場合もあります。

犯罪の第一段階は、調査ステージです。このステージで、攻撃目標のありとあらゆる情報が収集されます。攻撃対象の企業／団体が所有する機密情報や技術はもちろん、そこで働く人の特徴、行動パターン、仕事のプロセスまでもが重要な情報となります。調査期間は数か月に及びます。必要な情報が十分に揃ったら、社内システムへの侵入が開始されます。たとえば、調査の結果、判明した社員の行動パターンをもとにソーシャルエンジニアリングを仕掛け、フィッシングメールなどを通じて侵入します。

侵入に成功したら、社内のITインフラストラクチャ内にベースキャンプが築かれます。言わば、秘密基地です。ここを拠点として、社内システムの他のさまざまな部分にアクセスし、さらなる情報収集を開始します。ランサムウェアによる最大の攻撃は、このステージに繰り広げられます。

従来、ランサムウェアはデータを暗号化し、「暗号化を解除して欲しければ金をよこせ」というのが典型的なパターンでしたが、近年は機密情報を抜き出し、「公開されたくなければ金をよこせ」と脅す、二重脅迫（Double Extortion）が増えています。さらに、社内情報から顧客データや提携企業の機密情報を見つけ出して、第三者も脅迫に巻き込む三重脅迫（Triple Extortion）へと進化してきています。

つまり、社内システムに侵入したハッカーは、それだけ時間をかけて、社内の機密情報を物色していることになります。

次に、ハッカーは企業データのバックアップに攻撃を仕掛けます。バックアップファイルを破損させて、そこから復旧できないようにすれば、被害者が脅迫に屈して身代金を支払う可能性が高まります。たとえバックアップファイルそのものにアクセスできなくても、バックアップの自動プロセスやセキュリティシステム、関連ドキュメントを改ざんして、ありとあらゆる嫌がらせをします。

そして、いよいよ最終段階として、データの暗号化を完了した後、身代金要求ステージに入ります。ここまで、一年から数年かかる場合もあります。

バックアップはイミュータブルに

以上のことから、ランサムウェア対策としては、侵入を許さないことと同時に、最悪でもバックアップファイルだけは一切手だしできないようにすることがいかに重要かがわかります。ハッカーはいつ社内システムに侵入するか（すでにしているか）わからないので、バックアップファイルは今すぐにでも、社内外を問わず、誰もが一切変更できない状態（イミュータブル）にする必要があります。

近年ランサムウェア被害件数は増加の一途をたどっています。Veeamによる『2023年ランサムウェア トレンド レポート』によると、2022年の段階で年間に1回以上ランサムウェア攻撃を受けたと答えた企業は1,200社中85%にのぼります。ランサムウェア攻撃はもはや、もし受けてしまったらどうするかのIfの問題ではなく、いずれは受けてしまう、そのときにどうするか、のWhenの問題だと、言われるようになりました。心構えとしては、地震対策と同じです。いつかは必ず来ると思って、今、準備しなければなりません。

鍵となるのは3-2-1-1-0ルール

そこで重要となるのが、3-2-1-1-0ルールです。一般的には、バックアップの鉄則は3-2-1ルールと言われます。これは、重要なデータは3バージョン用意し（つまり、コピーを2件作ってオリジナルと併せて3件）、保管に2種類のメディアを使用し、そのうち1つはオフサイトに保管する、というルールです。

しかし、このルールでは、バックアップファイル自体の健全性を確保できません。前述のとおり、現在のランサムウェア攻撃は被害者が気が付かないうちにバックアップファイルそのものを改ざんする可能性があります。そこからシステムを復旧した場合、そのままランサムウェア込みで復旧してしまい、バックアップになんの意味もなくなってしまいます。

そのリスクに備えるには、3-2-1ルールを3-2-1-1-0ルールにアップグレードする必要があります。3-2-1-1-0ルールとは、3-2-1の「データ3件、メディア2件、オフサイト1件」を補足し、メディアのうち1つを誰も変更できないイミュータブルにして、バックアップを0エラーにする（バックアップの健全性を維持する）というものです。バックアップの健全性を維持するためには、バックアップを頻繁に取り、テストし、その0エラーを確認しなければなりません。正しいセキュリティ対策とは、1回やったら終わりではなく、定期的、継続的にやり続けなければならないものです。ハッカーがランサムウェア攻撃を成功できる理由は、日々のセキュリティ対策をついさぼってしまうIT担当者がいるからであり（人間だからいて当然なのですが）、もしすべての企業が3-2-1-1-０ルールを徹底し続けたら、ハッカーは活躍の場を失い、ランサムウェア犯罪はやがて撲滅につながるでしょう。

 

もう一つの重要な時間軸

ランサムウェア攻撃のタイムラインについて論じてきましたが、もう1つ、見逃してはならない重要な時間軸があります。ランサムウェア攻撃の被害にあった場合、復旧には時間がかかるという点です。先に挙げたVeeamランサムウェアトレンドレポートによれば、ほとんどの企業は復旧に最低でも3週間はかかるようです。この3週間は、復旧プロセスの所要時間です。現実には、すぐに復旧プロセスを開始できるわけではありません。プロセスを開始する前に、被害状況を正確に把握しなければなりません。どこから侵入され、何が攻撃されたのか、バックアップファイルは無傷なのか、顧客や提携先も含め、影響はどこまで及んでいるのか、これらをすべて調べ上げるのには相当な時間がかかることは想像に難くありません。警察や政府当局との連携が必要な場合は、これらの社内調査もすぐには始められない可能性があります。そして、当然ながら、この間、通常業務は滞り、逸失利益も膨れ上がっていくはずです。

このように、ランサムウェア被害から完全復旧するまでの期間を見積もるのは、ほぼ不可能です。不確実な要素が多すぎます。しかし、手持ちのバックアップファイルを使って復旧プロセスをすぐに開始できるなら、かなりのめどは立ちます。そのときバックアップファイルを信頼できるのとできないのとでは大違いです。3-2-1-1-0ルールの意義、バックアップをイミュータブルにすることの重要性は、この点にあります。

まとめ

ランサムウェア攻撃への最大の防御は、ハッカーの侵入を許さないことに他ありませんが、現状、すべての企業が必ず1回は被害にあってしまうほど、ランサムウェアは社会に蔓延ってしまっています。たとえ被害にあっても、脅迫に屈しないで済むよう、信頼できるバックアップを常に用意しておくことが何より重要です。バックアップ自体がハッカーの攻撃対象とならないよう、今すぐイミュータブルバックアップを取り入れ、3-2-1-1-０ルールの徹底を検討しましょう。

関連トピックス

• データ損失を抑えたランサムウェア攻撃からの復旧【Druva】
• Blocky for Veeam : シンプルで即利用可能なVeeamのためのランサムウェア保護
• Immutable(書き換え不能)レポジトリーバックアップによるランサムウェア対策
• ランサムウェアの検知もVeeamで対応!! Veeam ONE新アラート「Possible ransomware activity」
• CloudBerry Backup リリース 5.8の新機能紹介
• ランサムウェアに対抗するためのZertoの7つの主要機能
• Veeamでできる4つのランサムウェア対策（堅牢化バックアップ）
• 【ランサムウェア対策】堅牢化(Hardened)リポジトリ：セキュアなLinux構築の手間をISOパッケージで大幅削減[Veeam Backup & Replication]
• ランサムウェアの検知 ：データ保護がレジリエンス(耐久性)を高めるその仕組み　[Zerto]
• Zerto 10: ランサムウェアの検知とは？