HOME > 特集ページ > ランサムウェア対策のご案内
マルウェアの一種で、感染したパソコンやそのパソコンに接続したUSBハードディスク、同一ネットワーク上の共有フォルダー(NASやファイルサーバー)内のデータを暗号化やPCをロックするなど様々な方法で使用不能にし、その復帰と引き換えに「身代金(ransom:ランサム)」を要求する不正プログラムです。
2017年に感染が拡大したWannaCry(WannaCryptor、WannaCrypt)のような不特定多数の利用者を狙って電子メールを送信するといった手口から近年ではVPN機器などから侵入し特定の企業・医療機関を標的とした手口に変化しており、企業のネットワーク等のインフラを狙うようになっています。
サイバーセキュリティ企業FireEyeが行ったランサムウェア調査の結果、悪意のある活動の最初の兆候から被害発生までの潜伏期間は平均で24日という結果が出ています。(※)
想像しているよりもかなりの長期間、ランサムウェアは会社ネットワークに潜んでいます。
※ FireEye Threat Research They Come in the Night: Ransomware Deployment Trends より
ランサムウェアは潜伏期間中にはデータを改変しないとは言い切れません。また、保存されているデータの中には、感染のきっかけとなるデータが潜んでいるかもしれません。そのため、二重恐喝が行われる被害が発生した場合は、感染したと思われる日付以前のデータに戻す必要があります。
一見正常なメールに見えても心当たりのない添付ファイルは開かない、
あるいは送信者に電話などで確認する。
参考:IPA 独立行政法人情報処理推進機構
【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について
※ただし、パターンファイルに登録されていない
新種のウイルスは妨げない場合があります。
ランサムウェアの被害は、ファイルが暗号化され開けなくなってしまうことです。
暗号化されてしまったファイルの復元は困難なことから、重要なファイルについてはいつでも復元できるよう、定期的なバックアップを行うことが対策となります
参照:IPA 独立行政法人情報処理推進機構 IPAテクニカルウォッチ「ランサムウェアの脅威と対策」
IPAでは、パソコンがランサムウェアに感染して暗号化された際の備えとして、外付けHDDに都度バックアップし、バックアップが完了したら外付けHDDを取り外す運用を提案しています。
詳しくはこちら(外部リンク:IPA 独立行政法人情報処理推進機構)
※データをより確実に守る方法として、外付けHDDに加えDVD-RやBD-Rへ二重でバックアップを行う方法も非常に有効です。
データの重要度に応じてDVD-RやBD-Rの併用もご検討ください。
ランサムウェアは、感染したパソコンから読み書きできるドライブ(内蔵HDD、パソコンに接続した外付けHDD、共有されたNASなど)のファイルの暗号化処理を試みます。しかし、バックアップ先のドライブを読み書きできないようにしておくことで、バックアップデータをランサムウェアによる被害から守ることが可能です。そのためファイル共有用途のNASやファイルサーバーのデータを、パソコンから読み書きできないドライブにバックアップしていただくことで、ランサムウェアの被害を最小限に抑えることが重要です。
ネットワーク共有を「無効」にし、共有できない状態になっていることを確認してください。これにより、感染パソコンからのアクセスは不可となるため、ランサムウェアからバックアップ先の外付けHDD内のファイルを守ることが可能です。
※NASでバックアップ設定を行うと、バックアップ先共有フォルダーは読み込み専用となりますが、管理者権限のあるパソコンからは読み書き可能となるため、必要な時以外、共有設定を無効にすることで確実に保護します。
これまでは3世代バックアップで十分だと言われてきましたが、ランサムウェアの潜伏期間が長期化しているため、3世代では対応が難しくなってきています。
週末に感染しても月曜日に発覚すれば前週金曜日のデータを復元できます。しかし、発覚が1日でも遅れた場合や、GWや年末年始などの長期休暇中に感染した場合、復元は不可能です。
ランサムウェアの潜伏期間が長期化していることもあり、3世代のバックアップだと決して十分とは言えません。
長期休暇や長期の潜伏期間にも対応するため、IODATAは2週間分を目安に”14世代バックアップ”を推奨しています。14世代分をそのままバックアップすると元データの14倍の容量が必要になりますが、アイ・オー独自の「履歴差分バックアップ」なら日々変更された部分だけをバックアップできるため、バックアップ先の容量を抑えた運用が可能です。
さらに「履歴差分バックアップ」には不正ファイル操作検知機能も搭載。バックアップした際に、前回のバックアップデータと内容を比較し、大量の変更が確認された場合はシステム管理者へメール送信を行います。またLAN DISK Hシリーズでは、機器前面にある液晶画面に通知が表示されます。
ランサムウェアによるファイルの暗号化が検知できるため、バックアップが全て暗号されるような気付きにくいファイル消失のリスクを低減できます。
従来から実施してきた日時で行う14日分のバックアップに加え、新たに外付けHDDを導入し週次で8週間分のバックアップを行うことをおすすめします。これにより、潜伏型ランサムウェアに感染した場合も、コールドデータについては復旧できる可能性が高まります。
4週間分のバックアップを取得する場合は、1日当たりのデータ変化量をもとにバックアップ用HDDの容量を計算します。
例)1日当たり3%変化する場合は、バックアップ用HDDはNAS実効容量の2倍以上の容量が必要となります。
100人程度のオフィス向け
6ドライブモデル
HDL6-HABシリーズ
4ドライブモデル
HDL4-HAEXBシリーズ
2ドライブモデル
HDL2-HABシリーズ
1Uラックマウントモデル
HDL4-HAB-Uシリーズ
50人程度のオフィス向け
4ドライブモデル
HDL4-XABシリーズ
2ドライブモデル
HDL2-XABシリーズ
1Uラックマウントモデル
HDL4-XAB-Uシリーズ
15人程度のオフィス向け
2ドライブモデル
HDL2-AAXWBシリーズ
1ドライブモデル
HDL-AAXWシリーズ
もちろん、Windows OS搭載のNAS「Zシリーズ」でもランサムウェア対策が可能です。バックアップ先の外付けHDDを接続し、Windows Serverバックアップで世代管理すればOK。皆様の環境に最適なNASをご選択ください。
▶対応のNASはこちら
日本医師会ORCA管理機構推奨
BCSP-XAUTNシリーズ
4TBセット BCSP-XAUTN4
8TBセット BCSP-XAUTN8
バックアップに必要な機器がそろったスターターパックです。導入後、「医療情報システムの安全管理に関するガイドライン 6.0版」にそった運用をすぐに始められます。
3つの安心に対応! 法人向け利用に最適なバックアップHDDをご紹介いたします。
長期5年保証
NAS用高信頼HDD採用
H/X/Aシリーズ専用
フォーマット済み
NAS用高信頼HDD採用
長期5年保証
NAS用高信頼HDD採用
自動暗号化&パスワードロック対応
ミラーリング対応
NAS用高信頼HDD採用
2ドライブモデル
※履歴差分バックアップでは複数世代を残すため、十分なドライブ容量の外付けHDDをお選びください。(目安:NASの容量の2倍程度)
本サイトではランサムウェア対策として今後も最新情報を掲載していきます。