ランサムウェア対策としてのバックアップについて

2024年10月24日 16:09

皆様、今日もこのnoteを開いていただきありがとうございます。
今回はランサムウェア対策についてお話ししていこうと思います。
最後までお付合いいただきますよう、よろしくお願いいたします。

1.そもそもランサムウェアとは

ネットワークから侵入し、重要なデータを勝手に暗号化した上で「復号したければ金をよこせ」という要求をするためのマルウェアのことをランサムウェアと呼んでいます。
「身代金」を意味する「Ransom」と「Software」から作られた造語です。
以前お話を出しましたBitLockerと同じように、ランサムウェアによって暗号化された重要データなどを復号化することは暗号化キーがなければまず不可能です。というわけで、結局はランサムウェアの犯人に対して身代金を支払うしかないわけですが、身代金を払っても必ずしも復号化できるとは限りません。もしかしたら、どんどんと要求をつり上げてくるかも知れないのです。
一般的には「ウィルス」と「マルウェア」はほとんど同じものとして扱われていますが、実際には微妙に意味が違います。しかしここでは同じものとして取り扱いますと、インターネット黎明期には、ウィルスはいわゆるオタクの技術力誇示のために作られていたようなもので、大した被害は出ないウィルスも多数ありました。
しかし、インターネットが普及するにつれて、その上で扱われるデータの重要性も飛躍的に増した結果、こうして「お金」という実益を求めて悪いことをする輩というのも増えてきたというわけです。

2.ランサムウェアはどこから侵入するか

これに関しては、他のほとんどのウィルスと同じような経路です。悪意のあるWebページを開いたり、拡散型のメールを使ったりしてきました。
Webページを閲覧するだけでも、マルウェアの進入路を開けてしまうことはあり得ます。ですのでなるべくアングラなサイトなどは閲覧されないようにすることを強く推奨いたします。とはいえ、やっぱり人間ですからねえ。「見たいもんは見たい！」っていうことはあるじゃないですか。私もそのお気持ちはよくわかります。私だって見たいもんは見たいですから。
ですので、月並なことを申し上げてしまいますが、OSのアップデートはこまめに行い、ブラウザは現在進行形で開発が続いているものを使用し、セキュリティソフトもインストールしてきちんとアップデートもしておくというのが最良の対策ということになるのだと思います。
特に私はGoogle Chromeはセキュリティという面においては非常に行き届いたブラウザだと考えています。たまにそれが過ぎて煩雑に感じることもあり、素性がわかっているWebページなのにもかかわらずセキュリティアラートを出してくることもありますが、安全というのはそこまでしても守るべきものなのでしょう。
特にマルウェアというのは、自分が被害者になったということに気がつかないまま時間が経つと自分のPCからインターネット上の別のPCを攻撃した形となり、加害者にも変貌してしまうという恐ろしさがあります。

3.最新のランサムウェアの傾向

前項でWebページ閲覧やメールで拡散されると記しましたが、そこはやはり悪いやつの考えることというのは同じです。「どうせやるならデカい獲物を」ということです。
というわけで、最新の傾向はハッキング技術を組み合わせて、大きな組織のネットワークに侵入、そこで一定期間潜伏するタイプのランサムウェアを感染させておき、重要データを次々に支配下に入れた上で、あるときに一斉にそれを暗号化してしまうというような方法がとられるようになってきています。
この方法の恐ろしいところは、まずデータがとんでもなく重要なものですのでそれを再度利用できるようにするための身代金に加えて、暗号化したデータを公開しないことと引き換えに身代金を要求するという、身代金の2重取りが行われてしまうということです。そして、そのとおりに支払ったとして、安全かというとその保証はありません。
また、最近では「ノーウェアランサム」なんていうものも現れてきています。データを暗号化しないでシステムへのアクセスを遮断し、その遮断された部分のいわば「通行証」を出して欲しければ金を払え、という方法です。
これも以前BitLockerのお話をしたときに話題にしましたが、暗号化というのはそれなりに大きな操作であり、結構時間がかかりますし、正規の利用者にとって覚えのない操作がリソースを大量に消費しているという事実は比較的発見しやすいものだと言えると思います。
そこでノーウェアランサムは重要情報の中身を知るところまでは諦め、重要情報を利用できないようにした上で、解決方法を教えてやるから金を払え、という要求をしてくるわけです。重要情報の中身までは知られていないことはせめてもの救いですが、攻撃者の言い値どおりに支払うしかないことには違いありません。
簡易かつ迅速にマルウェアの効果を発揮するという意味では、このノーウェアアランサムはより進歩したランサムウェアだと言えるでしょう。
また、前稿「クラウドネイティブ時代のバックアップのあり方について」でも述べましたが、時代は「マイクロサービスアーキテクチャ」の方向に動きつつあり、サーバー上で簡易なソフトウェアを作ることが容易になりつつあります。
そこで、すべてがサーバーの上に乗るという「*aaS」時代に見事乗った形で「ランサムウェア・アズ・ア・サービス」として何とサーバー上で簡単にランサムウェアが作れる仕組みが作られたというのです。ウィルスの黎明期にもウィルス作成キット的なものが配布されたことはあるのですが、そういうものを作成していたという証拠がローカルには残らないという意味で「RaaS」はより厄介なものになったと言うべきでしょう。
このように、マルウェアはより規模の大きいように、被害者に対して困った方向に進化し続けています。

4.ランサムウェアがもたらした実害の事例

ランサムウェアによって実害が出た事例を、海外と国内から1例ずつご紹介します。

海外の事例
2021年5月、米国石油パイプライン大手がサイバー攻撃によりランサムウェアに感染し、すべてのパイプラインを一時停止しました。米運輸省が燃料の輸送に関して、緊急措置の導入を宣言する事態に陥りました。

国内の事例
2021年10月、国内の公立病院がランサムウェア「LockBit」の攻撃を受け、診療報酬計算や電子カルテの閲覧に使用する基幹システムが利用できなくなり、新規患者の受け入れを一時停止しました。データ復旧の条件として身代金を要求されましたが、病院側は要求には応じず、約2カ月後にサーバーを復旧させました。また、通常診療はサイバー攻撃から約3カ月後に再開させました。バックアップシステムまで被害が及んでいたため、復旧に時間を要しました。

このように、莫大な被害が出ることも時にはあります。やはり何らかの対策は考えておかなければいけないということでしょう。

5.ランサムウェア対策について

まず、繰り返しになりますがOS・アプリケーション・セキュリティソフトは常に最新版のものを使う、というのが基本中の基本になります。
ソフトウェアというものを（OS自体も含めて）全くバグやセキュリティホールなしに作ることは、実際のところ不可能なのです。ですのである程度固まった時点で利用開始に入り、穴が見つかれば修正していくというのがソフトウェアの宿命ということになります。なんか賽の河原を連想させますが、残念ながらソフトウェアというのはそういうものなのです。
次に強固なパスワードです。アメリカでの調査になりますが、いまだに「password」というようなわかりやすすぎるパスワードを使っている人は多いようです。最近はパスワード管理ソフトウェアなんていうものもありますので、そういうものも積極的に取り入れながらできるだけ強固なパスワードを使いましょう。Google Chromeにもパスワード管理機能はありますよね。
当たり前のように聞こえますが、不審なメールやリンクを開かないことも基礎中の基礎です。
そして信頼できるセキュリティソフトを使うことも必須です。セキュリティソフトの比較をしたサイトなんかも結構ありますので、そういうところも参考にしつつ、最善のセキュリティソフトを利用して下さい。
より高度な対策というのはもちろんあるのですが、そういうものを導入できるのは巨大組織になってしまうと思いますのでこれについては稿を改めさせて下さい。後日またお話ししたいと思います。

6.重要データはバックアップ

そこで弊社の出番となると考えております。ランサムウェアによってデータが暗号化されてもアクセスを遮断されても、バックアップが取ってあればリプレースするだけです。弊社のご提供しております遠隔地バックアップサービスですと、オフラインでバックアップが作成されオフラインで保存しておりますので、サイバー攻撃には滅法強いです。
残念ながら、内容を知られてしまったことに対する身代金要求の対策にはなりませんが、そこは自社で暗号化した上でデータを利用していれば問題ないのではないかと考えられます。
何度も申し上げるようですが個人的にはBitLockerはどうなのかなと思っているのですが、暗号化ソフトは他にもいろいろ発売されています。有料にはなってしまいますが、安全にはお金を使っておいた方が確かです。
では本日はこの辺りで失礼をいたします。