ランサムウェア対策に有効なバックアップの方法と必要性

企業のデジタル化が進む中、ランサムウェアによる被害は年々深刻化しています。データが暗号化され業務が停止すると、企業活動に重大な影響を及ぼします。

ランサムウェアに感染した場合、バックアップからのデータ復旧が唯一の現実的な対応策となります。しかし、近年はバックアップデータ自体が攻撃対象となるケースが増えており、従来の方法では不十分です。

この記事では、ランサムウェア対策に有効なバックアップの方法と、データを確実に守るための具体的な対策をご説明します。

ランサムウェアとバックアップ

ランサムウェアは、システムに不正アクセスしてデータを暗号化し、データ復元と引き換えに多額の身代金を要求する攻撃手法です。

バックアップがあれば、身代金を支払うことなく自社でデータを復元できます。ただし、最近の攻撃ではバックアップサーバーやバックアップデータ自体も標的となるため、適切な保存方法を選ぶことが重要です。バックアップは、ランサムウェア対策の最後の砦といえます。

バックアップとは？

バックアップとは、データの破損や機器・システムの故障などのトラブルに備えて、事前にデータを別のメディアやクラウド上に保存しておくことです。

バックアップは手動で行うだけではなく、自動で行われるように設定することもできます。また、その都度すべてのデータをバックアップしていては時間がかかるため、追加・変更された分だけのバックアップを取る「差分バックアップ」「増分バックアップ」という機能もあります。差分バックアップは「初回のバックアップ」から変更・追加されたデータをバックアップするのに対し、増分バックアップは「前回行われたバックアップ」から変更・追加されたデータをバックアップします。

バックアップはなぜ必要？

データをバックアップする目的は大きく2つあるといわれています。

1つ目はデータが消失した際の保険です。取引に関する資料、開発中の商品に関する情報、社員や顧客の個人情報など、企業が扱うデータは多岐にわたります。このようなデータが破損した場合や、ランサムウェア被害に遭った場合、企業にとって多大な被害が発生することになるでしょう。
また、パソコンなどのデバイスの故障、災害などが起こると膨大なデータが一瞬にして消える可能性があります。不測の事態が起こった際に、元のデータを復元できるようにするためにも、バックアップは定期的に取っておくことが重要です。

2つ目はデータの証拠記録として行います。これは、社外への情報漏えいや社内外からの情報の改ざんといったリスクが発生した際の備えとしてのバックアップです。何らかのトラブルや情報改ざんなどの疑いが発生した時に、記録としてバックアップしておいたデータと比較することで原因究明や分析が図れます。

ここからはバックアップの必要性について、「データが失われる原因」と「バックアップをしないとどうなるのか」という2点と併せて見ていきましょう。

データが失われる原因

データが破損する原因としては、以下のようなものが考えられます。

システム異常

サーバーやネットワーク、使用しているソフトウェアなどのシステム異常によりデータが失われることがあります。OSのバージョンが古いままだった、ソフトウェアに不具合があったなど、多くの要因が関連しています。

機器の故障

パソコンやタブレットなど、デバイス自体が故障してしまうと、データが破損して読み取り不能になることがあります。最悪の場合には、データが全て失われてしまうこともあります。

人的ミス

パソコンの保存をせず電源を落としてしまった、データを間違えて削除してしまったなど、人的ミスもデータ破損の原因の一つです。間違えて削除しただけであれば、パソコン内のごみ箱に残っている可能性もあります。

内部不正

社員がデータを外部に持ち出したあとで社内のデータを削除するなど、内部の人間による不正行為も可能性の一つとしては考えられます。システムやデバイスなど、どこにも異常がない場合は、内部不正を念頭に置いた調査をする必要があります。

火災や災害

地震や火災などの災害が起こった場合は、デバイスやサーバー等が被害を受けることで、あらゆるデータが失われる可能性があります。

サイバー攻撃

近年はデジタル化の発展やリモートワークの普及にともない、不正アクセス・ランサムウェア被害など、サイバー攻撃を受ける危険性も高まっています。特にランサムウェアに関しては、令和５年に都道府県警察から警察庁に報告のあった件数は197件であり、令和2年下期以降、高い水準で推移を続けています。（下図参照）

出典：サイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/index.html

ランサムウェアに感染した場合、システム復旧に2カ月以上かかったケースや、復旧に5,000万円以上かかったケースも報告されています。さらに、ランサムウェア被害に関連して要した調査・復旧費用の総額についての質問に対する有効な回答のうち、3分の1以上が1000万円以上の費用を要しています。
また、従来は暗号化したデータを復元する対価として企業等に金銭を要求するパターンが多い傾向でした。しかし最近ではデータの暗号化のみならず、データを窃取した上で、対価を支払わない場合はデータを公開するなどといった二重恐喝（ダブルエクストーション）という手口が多くなっています。また侵入経路としてVPN機器をはじめとするネットワークインフラの脆弱性や強度の弱い認証情報等が設定されたリモートデスクトップサービスを狙って侵入する方法が多く発生しています。

以上のように、データが失われる原因にはさまざまなものが考えられます。原因が何であれ、不意にデータが消えてしまった場合に事業を継続するためには、バックアップを定期的に取っておくことが重要なのです。

バックアップをしないとどうなるのか

それでは、大切なデータを失ったときにバックアップを取っていないとどのような状況になるのか、具体的に見ていきましょう。

事業の継続が困難になる

顧客情報・各資料・メールのやり取りなどあらゆるデータが失われてしまうと、それまでと同じように事業を継続することができなくなります。

社会的信用の失墜

多くの情報を取り扱う企業がデータをすべて失ったとなると、「不測の事態に備えて、なぜバックアップを取っていなかったのか？」と、責任を追及されることにもなります。セキュリティ対策やBCP対策について意識が低い企業だとみなされれば、社会的信用を失うことにつながります。

復旧のために多大な費用が発生する

データが破損した原因にもよりますが、システムの復旧には多大な費用が発生することもあります。特にランサムウェアの場合、データの復旧には身代金を要求されるケースもあるため、被害をできるだけ抑えるためにもバックアップは必要不可欠です。

バックアップの方法

ここからは、バックアップする方法についてご説明します。それぞれのメリット・デメリットとともに見ていきましょう。

CD・DVD・USBメモリなどの外部メディア

CD・DVD・USBメモリなどの外部メディアは、手軽にバックアップを取れるメディアとして使用されます。USBメモリはサイズも小さく、持ち運びがしやすいメディアです。CD・DVDはバックアップ用のメディアとして現在主流ではありませんが、スーパーやコンビニなどでも売っていることから、緊急時には役に立ちます。

【メリット】

• 携行性に優れている
• 安価

【デメリット】

• 容量が少ない
• 紛失の恐れがある
• デバイスによってはCD・DVDは外付けドライブが必要な場合がある
• 盗難や破壊されるリスクがある

外付けHDD

外付けHDDは1TB以上の大容量のものも多く、パソコン全体のバックアップを取ることも可能なメディアです。ただし、物理メディアのため衝撃や熱に弱く、落下などによって故障することもあります。大容量のものはサイズも大きいため、持ち運びには向いていないでしょう。

【メリット】

• 大容量
• 容量の割に安価

【デメリット】

• 持ち運びはリスクが高い
• 物理的な故障に注意が必要
• 盗難や破壊されるリスクがある

NAS

NASとは、ネットワークに接続されたHDDのことです。HDDを複数台搭載したNASもあり、何台ものパソコンの膨大なデータをネットワーク経由で保存することができます。また、RAID（レイド）機能と呼ばれるデータの分散保存機能を搭載したタイプであれば、NASの一部が故障してもデータ損失のリスクを最小限に抑えられる点も特徴です。

【メリット】

• 複数台のデバイスのバックアップをまとめて取れる自社でファイルの保存環境やネットワーク環境全体を管理・把握できる

【デメリット】

• 設置作業や初期設定など導入に手間がかかる
• 外付けHDDよりも容量あたりの単価が高い
• 盗難や破壊されるリスクがある
• ネットワーク接続されているため、ランサムウェアに感染したPCから攻撃される可能性がある

クラウド

クラウドを利用したバックアップは、現在主流になりつつある方法です。物理的なメディアが不要で、インターネット接続さえあればいつでもバックアップを取れます。

【メリット】

• 物理メディアのように場所を取らない
• インターネット接続があればどこでも利用できる
• 物理的に離れた場所にデータを保管できるため、災害対策としても有効

【デメリット】

• サーバーやインターネット接続に障害が起きるとアクセス自体できない
• 提供者側が構築した既存システムを用いるため、カスタマイズに制限がかかる
• 自社システムとの連携が難しい場合がある

テープなどの大容量媒体

磁気テープが入ったカートリッジをバックアップの記録媒体として使用するバックアップ方法となります。現在バックアップに用いられる磁気テープの規格はLTOが一般的です。
LTOとは、「Linear Tape-Open」を略した名称で、コンピュータ用のデータ保存磁気テープ技術のことをいいます。LTOは汎用性が高く長期にわたる保管および読み書きに対する信頼性も高いとされています。大量・大容量データのバックアップの用途で、放送局や制作会社、病院、銀行などでよく用いられています。

【メリット】

• 大容量のデータ保存が可能
• データの長期保存ができる
• 移動性・保管性に優れている
• オフラインでデータ保管が可能なのでセキュリティ性が高い

【デメリット】

• 検索性が悪い（復元に時間がかかる）
• 専用ドライブが高価であり、定期的メンテナンスが必要
• 盗難や破壊されるリスクがある

推奨されるバックアップの方法

ランサムウェア対策として有効なバックアップ構成は「321ルール」です。これは、米国土安全保障省が公表したガイドラインに記載されている、データ保護の基本原則となります。

321ルールとは

• データを「3」カ所に保存(本番環境+バックアップ2カ所)
• 「2」種類の異なるメディアに保存
• 「1」カ所は遠隔地(オフサイト)に保管

この構成により、ランサムウェア攻撃や災害が発生した場合でも、確実にデータを復旧できる環境を構築できます。

2つのバックアップはそれぞれ異なるメディアに保存し、さらにメディアのうち1つは、災害などに備えて遠隔地の別拠点などに保管しておくことが望ましいでしょう。別拠点がなければ、クラウドでも構いません。

いずれにせよ、バックアップは1つだけではなく複数用意し、さらにバックアップ同士は離れた場所に保管することが重要です。このバックアップ方法のことを「321ルール」といいます。321ルールでバックアップを取ることでさまざまなトラブルに対しても安全にデータ復旧ができる状態を作ることができます。

32110ルールとは

32110ルールは、321ルールをさらに強化したランサムウェア対策専用の方法です。

「1」- イミュータブル(不変)バックアップ

バックアップデータを後から変更・削除できない状態で保存します。WORM(Write Once Read Many)機能を持つストレージやクラウドサービスを利用することで、管理者権限を持つアカウントが乗っ取られた場合でも、バックアップデータを守ることができます。

「0」- 復元エラーゼロの検証

実際にバックアップからデータを復元するテストを定期的に実施します。バックアップが正常に取得できているか、復元に要する時間はどの程度かを事前に確認することで、いざという時に慌てずに対応できます。

もし、現在バックアップに321ルールを導入済みであるなら、さらに安全にバックアップを保存できる32110ルールの導入も検討してはいかがでしょうか。

バックアップを行う上での注意点

バックアップを取る際には、以下の点に注意しましょう。

システムデータ等は復元可能か確認

システムデータは、元の作業環境を復旧させるために重要なデータです。資料などのファイルが残っていても、システム自体を復元できなければ業務が継続できない可能性もあるため確認が必要です。

復元テストを定期的に実施する

復元可能性の確認と併せて、定期的に復元テストを実施し、以下を確認しましょう。

• バックアップデータが正常に保存されているか
• データ復元にかかる時間はどの程度か
• 復元手順を担当者が理解しているか

復元テストを行うことで、ランサムウェア被害時の復旧時間を短縮し、事業への影響を最小限に抑えることができます。

バックアップの世代管理を適切に行う

ランサムウェアは感染後すぐに発覚するとは限りません。感染から数週間~数ヶ月後に発動するケースもあるため、バックアップは複数世代(少なくとも3ヶ月分)を保持することが推奨されます。

外部メディアは紛失・故障のリスクも考慮する

USBメモリや外付けHDDは、管理不足による紛失や衝撃による故障のリスクがあります。安価で手軽にバックアップができる点が外部メディアのメリットですが、リスクがあることも承知のうえ、前述のように複数バックアップを保存するなどの対策を取りましょう。

バックアップの取得だけで安心してはNG！ランサムウェア対策としては不十分

ここまでご覧いただいた通り、バックアップはランサムウェア対策として有効な手段です。

しかし、近年は「二重脅迫型ランサムウェア(ダブルエクストーション)」という攻撃も増加しています。この手口では、データを暗号化するだけでなく、暗号化前にデータを窃取し、「身代金を支払わない場合にはデータをインターネット上に公開する」と脅迫します。

二重脅迫型ランサムウェアの場合、バックアップがあってもデータ流出は防げません。そのため、ランサムウェアに感染しないための予防策が重要となります。

有効な予防策

• VPN機器やリモートデスクトップの脆弱性対策
• 強固な認証情報の設定(複雑なパスワード、多要素認証)
• セキュリティソフトの導入と定期的な更新
• 従業員へのセキュリティ教育

バックアップは「万が一の保険」として必須ですが、まずは感染を防ぐための多層的な対策を実施することが求められます。

ランサムウェアに関して詳しくはこちら

社内PCを取り巻く問題はALSOKの情報セキュリティ対策で解決！

ランサムウェアの被害は右肩上がりに増加しているため、企業においても社員のPCを取り巻くさまざまな問題や情報セキュリティ対策は急務といえるでしょう。
ALSOKでは、「ALSOK情報セキュリティソリューション」を提供しています。

ALSOK情報セキュリティソリューションは、以下のようなサービスを提供する中小企業向けの基本対策に特化したソリューションです。

• インターネット上の脅威を監視する「ALSOK UTM運用サービス」
• ランサムウェアに感染しても自動で復旧する「ALSOK ウイルス対策ソフト MR-EP」
• 社内PCの情報を収集する「ALSOK IT資産管理」

外部からのサイバー攻撃だけではなく、内部不正や情報漏洩の監視にも対応しているため、企業の大切な情報を守りたいと考えている場合はぜひ導入をご検討ください。

まとめ