効果的なランサムウェア対策にオススメのストレージの機能とは？

ランサムウェアとは、身代金目的のマルウェアの1種で、感染したパソコンやネットワーク上のファイルを暗号化してデータを使用できなくした後に、その復号と引き換えに金銭（身代金）を要求する悪質なサイバー犯罪です。これらの攻撃では、システムやソフトウェアの仕組みを悪用して被害が拡大します。

これまでは暗号化が主流でしたが、近年では、管理者権限を奪ってログインできなくする、業務システムの操作を制限する、サーバーなどの通信を止めてアクセスを制限するといった手口が増えており、復号だけでは解決できないケースも増えています。また、データを人質にとるだけでなく、金銭を支払わなければデータを公開すると脅迫するなど、暴露型・二重脅迫型、三重脅迫型と呼ばれる手口も増えています。

そして、感染経路についても、以前は、不正なメールの添付ファイルの開封、セキュリティの甘いWebサイト経由、ソフトウェアの脆弱性を突いた攻撃などが主流でしたが最近では、VPN機器とリモートデスクトップ（RDP）が主な感染経路となっています。他にも、AIを駆使してフィッシングメールを作成するなど、巧妙な手口でユーザーを欺く攻撃者も増えており、これまで以上に注意が必要です。

ランサムウェアの被害は情報システムに対するものに留まらず、企業のビジネスの継続や取引先との関係、社会的信用にも影響を及ぼすため、社会的リスクマネジメントや安全保障の観点での対応が重要となります。

例えば、2024年6月、ある出版大手企業がランサムウェアを含む大規模な攻撃を受けたというニュースが報じられました。この攻撃により、提供サービスが広く停止するなど事業にも大きな影響が出たほか、5万人分を超える個人情報や企業情報が流出し、調査や復旧にかかった費用は20億円を超えたとされています。

このように、ランサムウェア被害では直接的な被害額よりも、業務停止による売上損失や調査・復旧コスト、顧客離れなど、間接的、長期的な損失が深刻になっており、被害の影響範囲の特定に時間がかかる、サービスの再開にも厳重な検証が必要になるなど、全体復旧に数週間〜数ヶ月かかるケースも少なくありません。また、復旧期間が長くなれば長くなるほど、調査や復旧にかかる費用が高額になる傾向が高く、いかに早期復旧ができるかがポイントと言えるでしょう。

また、警察庁サイバー警察局が発表した報告書（警視庁サイバー警察局「令和６年におけるサイバー空間をめぐる脅威の情勢等について」）によると、2024年におけるランサムウェアの被害報告件数は222件。これまでは支払い能力の高さや業務停止による社会的、経済的インパクトの大きさから、大企業や公共機関などの組織が主なターゲットとされてきましたが、最近では、対策が十分にとられていない中小企業が標的にされるケースも増えており、どんな企業でも無関係ではいられない時代になっています。

従来のストレージ製品におけるデータの安全性への考え方は、RAIDに代表されるような、平常時の利用でデータが損なわれない「堅牢性」に重点が置かれていました。一方で、近年では、悪意ある改ざんが行われた場合も復元・回復できる「復元性・回復性」を確保することへ重心がシフトしつつあります。

特にランサムウェア対策では、感染防止のためのセキュリティ対策はもちろん、万一の場合にデータをどれだけ早く元の状態に戻せるかが重要です。そのためには、テータの復元性、回復性に優れたストレージに事前にデータを集約しておくことが重要な鍵になります。

ここで、「うちはバックアップを取っているし、何かトラブルがあってもバックアップがあるから大丈夫」と思っている方も多いのではないでしょうか。

バックアップを取得していて、バックアップデータがランサムウェアに感染していなければ、身代金を払うことなく、元の状態に戻すことができます。万が一の時に業務を停めないために、バックアップからの復元は当たり前の備えと言えるでしょう。

しかし実際には、バックアップから復元できなかったり、復元するのに時間がかかってしまったりと、うまくいかないケースも少なくありません。「バックアップさえあれば安心」と考えるのは、危険かもしれません。攻撃の高度化が進む今、いざという時に本当に使える復旧策とは何か、その質と仕組み、そして確実に実行できる復旧手順の整備と検証が問われています。

そこで以降の章では、ストレージのスナップショット機能とイミュータブル機能を活用した実効性の高いランサムウェア対策について解説します。

最近では、ストレージが高速化・大容量化したことを受けて、スナップショット機能も大きく進化・拡張しています。

スナップショットは、バックアップに比べてリストア時間が短く、即時復旧が可能です。感染直前のクリーンな状態がスナップショットに残っていれば、スナップショットからのリストアで迅速に復旧することも可能です。

スナップショットとは、ある時点でのデータの状態をそのまま保存する仕組みで、多くのストレージ製品に標準搭載されている機能です。NVMe SSDの登場など、SSDの高速化でほぼ瞬時にスナップショットを取得できるようになっています。これにより、システム稼働中でもパフォーマンスにほとんど影響を与えることなく、定期的にスナップショットの取得が可能になります。頻度や保管できる世代数は、製品によってさまざまですが、複数ある世代の中から特定の時点でのスナップショットに復元する機能を使って、感染する前の状態に戻すことができます。

スナップショットからの復元では、任意のスナップショット時点に高速かつ簡単に戻すことができます。データを別の場所にコピーするバックアップからの復元は、データコピーの方式を取るため、コピーの時間がどうしてもかかってしまいます。ですが、スナップショットは、ストレージ内に保管されたスナップショット時点のデータに参照先を切り替えるだけなので、高速な復元が可能になります。

スナップショットからの復元自体は簡単にできるものの、いざ復元をしようとすると、どのスナップショットに復元すれば感染する前に戻せるのか、を判断するのは簡単ではありません。

そこで最近注目されているのが、AIと機械学習を活用して脅威を検知する仕組みです。

この仕組みでは、正常なアクセスパターン（ファイルの読み書き頻度や種類、ユーザーの動作など）をあらかじめ学習しておき、それと比べて異常な動作――例えば、急激なファイルの暗号化や大量の削除などーーを見つけて、異常として検知します。

異常と判断される動作が検知されると、自動的にアクセス遮断やスナップショットの取得を行い、管理者にアラートを出すという防御策を取ることができます。
異常検知により、初期段階で対処できるため、被害を最小限に抑えられるほか、異常検知後にすぐにスナップショットを取れるため、感染前の状態に戻しやすいというメリットがあります。

手動での監視に比べても圧倒的に効率的に行えるため、スナップショット機能を活用した復旧対策では、こうした仕組みの活用もオススメです。

イミュータブルとは、一度書き込まれたら書き換えや削除ができない状態のことを指します。

最近では、ランサムウェア対策として、バックアップを一定期間変更、削除できないように設定し、バックアップデータを感染被害から守るために、イミュータブル機能を有効にしたデータ格納先を利用する事例が増えています。

ストレージのスナップショットも、ランサムウェアによって改ざんや削除されてしまっては意味がありません。万が一ランサムウェアに感染したとしても、変更、削除ができないようにイミュータブルな領域にスナップショットを保存しておく運用が広がりつつあると言えるでしょう。

ストレージベンダーによってイミュータブル機能の実装方式はさまざまですが、一例としてストレージ筐体内にデータ改変不可な隔離された区画を論理的に設け、スナップショットを当該区画に保管することでランサムウェア感染時もスナップショットデータの改変や削除を防ぐ製品などが挙げられます。

なお、イミューダブル機能は、すべてのストレージ製品に搭載されているわけではなく、エンタープライズ向けの上位モデルやバックアップ専用のアプライアンス製品などに限られる傾向があります。一部の製品では、オプションで利用することもできるため、ストレージでランサムウェア対策を行いたいという場合は、スナップショットをイミューダブル化できるかどうかも、導入時に確認すると良いでしょう。

いかがだったでしょうか。今回、ストレージにおけるランサムウェア対策として、2つの仕組みをご紹介しましたが、いずれも、ストレージ製品が高速、大容量化したことで実現できるようになった仕組みと言えるでしょう。

これまでは、ストレージの外部に保管されたバックアップからの復元が、ランサムウェア対策における復旧策の主流とされていましたが、ストレージのスナップショット機能やイミューダブル機能をうまく活用することで、より安全性を確保しながらスピーディーな復旧も実現できるようになっています。

S&Iでは、ランサムウェア対策などのご要望も踏まえたインフラ構築支援もご提案しています。ご興味のある方はぜひ、ご相談ください。