ランサムウェアへの対抗策

攻撃の兆候はネットワーク接続したPCやサーバのマルウェア感染から始まり、感染ファイルがエンドポイントにロードされると同時に社内ネットワークに広がりを見せ、最終的に犯行グループによる暗号化でアクセス可能な全ファイルがロックされる手法が主流となっています。

また犯行グループによる被害企業・組織のサーバ等への潜入、偵察、攻撃、身代金強奪などの手法は、「戦術（Tactics）、技術（Technique）、手順（Process）」（TTP）を用いて益々磨きがかかっていることが知られてきています。

攻撃ステップ

ファーストステップとしてランサムウェアは既知のソフトウェアの脆弱性を利用、フィッシングメールやUSBメモリからの侵入、ブルートフォース攻撃、さまざまな経路を用いることが判明しています。最終的には単一のエンドポイントまたはネットワークデバイスにマルウェアをインストール、攻撃者によるリモートアクセスが可能な状態に陥ります。

インストール完了後、ランサムウェアは攻撃者が運用するコマンドアンドコントロールサーバと通信を開始、システムをロックした上で解除に必要な暗号キーの生成を始めるのです。生成が完了すると、ランサムウェアは暗号化を開始、ローカルや社内ネットワークにあるファイルが復号キーなしでアクセスできないようロックがかかります。暗号化が完了次第に身代金の支払い方法・期限と言った要求を突き付けてくるのです。

身代金支払いのもたらす結果

選択肢として犯行グループへの身代金の支払いに応じることも可能ではあります。しかしながら身代金を支払った企業でもデータを復元できていないケースがその多くを占め、身代金と引き替えに受け取った復号キーが機能する保証は当然ないばかりか、復号キーを確実に受け取れる保証も何もありません。繰り返し身代金支払いを要求される羽目に陥ることが目に見えているのです。身代金を資金源にさらに大規模なランサムウェア攻撃を仕掛ける犯罪グループも報告されています。

お問い合わせはこちら

費用やスケジュール・サービス詳細に関するご不明点や疑問点などもお気軽にお問合せください。原則翌営業日までにご回答しておりますが、内容によりお時間がかかる場合も…

PlatSupplyConsulting

バックアップデータ保護の重要性

ランサムウェアへの対抗策を考慮する場合、データバックアップシステムが今後、重要性を増しています。システム選定の際には「オブジェクトロック」できるかが肝。ロック対応であれば、WORM（Write Once Read Many）モデルに沿ってオブジェクトを安全に保存、指定した期間内に保護されたデータを暗号化、改ざん、削除ができなくなり、ランサムウェア攻撃に対して強力なディフェンス機能を発揮するのです。

オブジェクトロックで保存したバックアップデータからシステムを復元すればダウンタイムや中断を最小限に抑え、復旧を実現できます。最重要データをイミュータブル（不変）にさせ、バックアップから未感染データを素早く復元、展開、中断が少なくビジネスを再開できるメリットをもたらします。

ほとんどのランサムウェア攻撃では気づかぬうち、あっという間にファイルがロックされます。オブジェクトロック機能を使用できれば、イミュータブルでエアギャップ対応のバックアップを作成、素早いリカバリーにつながりやすいのです。

システムの復元には

復元ポイントを利用する解決策はこれまで散々試みられてきましたが、システム内のコンポーネントに感染ファイルが潜んでいる可能性を拭いきれず、システムの復元を用いても全ての悪質なインスタンスの根絶には至らないのが現実。またランサムウェア自体がローカルバックアップにも感染、暗号化する機能を持つことが明らかになっています。PC端末が感染すればローカルバックアップもデータを暗号化される被害を受けます。

そのため優れたバックアップソリューションを用いれば、システムの再稼働にあたって必要ファイルを入手することが容易となり、指定日付からリストアすべきファイルを判断したり、リストアに必要なファイルをどのように取得すべきか決定しやすくなるメリットが生まれるのです。