効果的なランサムウェア対策にオススメのストレージの機能とは？

ランサムウェアとは、身代金目的のマルウェアのことです。感染したコンピューターやネットワーク上のファイルに特定の制限をかけ、そのデータを使用できなくした後に、その制限の解除と引き換えに金銭（身代金）を要求するマルウェアの1つです。最近では、データを人質にとるだけではなく、金銭を払わなければデータを公開すると脅迫するなど、暴露型・二重脅迫型、三重脅迫型と言われるランサムウェア被害も増えています。


また、以前は、添付ファイル付きのフィッシングメールやセキュリティの甘いWebサイト経由、ソフトウェアの脆弱性を突いた攻撃などが主なランサムウェアの感染経路でしたが、最近では、VPN機器とリモートデスクトップ（RDP）が主な侵入経路となっています。他にも、AIを駆使してフィッシングメールを作成するなど、巧妙な手口でユーザーを騙そうとする攻撃者も増えています。

ランサムウェアの被害は情報システムに対するものに留まらず、企業の社会的信用にも及ぶため、社会的リスクマネジメント、安全保障の観点での対応が重要となります。

例えば、2024年6月、ある出版大手企業がランサムウェアを含む大規模な攻撃を受けたというニュースが報じられました。この攻撃により、提供サービスが広く停止するなど事業にも大きな影響が出たほか、5万人分を超える個人情報や企業情報が流出し、調査や復旧にかかった費用は20億円を超えたとされています。

このように、ランサムウェア被害では直接的な被害額よりも、業務停止による売上損失や調査・復旧コスト、顧客離れなど、間接的、長期的な損失が深刻になっており、被害の影響範囲の特定に時間がかかる、サービスの再開にも厳重な検証が必要になるなど、全体復旧に数週間〜数ヶ月かかるケースも少なくありません。また、復旧期間が長くなれば長くなるほど、調査や復旧にかかる費用が高額になる傾向が高く、いかに早期復旧ができるかがポイントと言えるでしょう。

また、警視庁が発表した報告書（警視庁サイバー警察局「令和６年におけるサイバー空間をめぐる脅威の情勢等について」）によると、2024年におけるランサムウェアの被害報告件数は222件。これまでは支払い能力の高さや業務停止による社会的、経済的インパクトの大きさから、大企業や公共機関などの組織が主なターゲットとされてきましたが、最近では、対策が十分にとられていない中小企業が標的にされるケースも増えており、どんな企業でも無関係ではいられない時代になっています。

従来のストレージ製品におけるデータの安全性への考え方は、RAIDに代表されるような、平常時の利用でデータが壊れないこと（堅牢性）でした。一方で、最近では、悪意ある改ざんの場合も復元性、回復性が提供できることにシフトしつつあります。

特にランサムウェア対策では、データをどれだけ早く元の状態に戻せるか、いざと言うときにテータの復元性、回復性を提供できるストレージに事前にデータを集めるかが、重要な鍵になります。

ここで、「うちはバックアップを取っているし、何かトラブルがあってもバックアップがあるから大丈夫」と思っている方も多いのではないでしょうか。

バックアップを取得していて、バックアップデータがランサムウェアに感染していなければ、身代金を払うことなく、元の状態に戻すことができます。万が一の時に業務を停めないために、バックアップからの復元は当たり前の備えと言えるでしょう。

しかし、実際には、バックアップから復元できなかったり、復元するのに時間がかかってしまったりと、うまくいかないケースもあります。バックアップさえあれば安心、と考えるのは、危険かもしれません。攻撃の高度化が進む今、いざという時に本当に使える復旧策とは何か、その質と仕組みが問われています。

以降の章では、ストレージのスナップショット機能とイミュータブル機能を活用したランサムウェア対策について解説します。

最近では、ストレージが高速化・大容量化したことを受けて、スナップショット機能も大きく進化・拡張しています。

スナップショットは、バックアップに比べてリストア時間が短く、即時復旧が可能です。感染直前のクリーンな状態がスナップショットに残っていれば、スナップショットからのリストアで迅速に復旧することも可能です。

スナップショットとは、ある時点でのデータの状態をそのまま保存する仕組みで、多くのストレージ製品に標準搭載されている機能です。NVMe SSDの登場など、SSDの高速化でほぼ瞬時にスナップショットを取得できるようになっています。これにより、システム稼働中でもパフォーマンスにほとんど影響を与えることなく、定期的にスナップショットの取得が可能になります。頻度や保管できる世代数は、製品によってさまざまですが、複数ある世代の中から特定の時点でのスナップショットに復元する機能を使って、感染する前の状態に戻すことができます。

スナップショットからの復元では、任意のスナップショット時点に高速かつ簡単に戻すことができます。データを別の場所にコピーするバックアップからの復元は、データコピーの方式を取るため、コピーの時間がどうしてもかかってしまいます。ですが、スナップショットは、ストレージ内に保管されたスナップショット時点のデータに参照先を切り替えるだけなので、高速な復元が可能になります。

スナップショットからの復元自体は簡単にできるものの、いざ復元をしようとすると、どのスナップショットに復元すれば感染する前に戻せるのか、を判断するのは簡単ではありません。

そこで最近注目されているのが、AIと機械学習を活用して脅威を検知する仕組みです。

この仕組みでは、正常なアクセスパターン（ファイルの読み書き頻度や種類、ユーザーの動作など）をあらかじめ学習しておき、それと比べて異常な動作――例えば、急激なファイルの暗号化や大量の削除などーーを見つけて、異常として検知します。

異常と判断される動作が検知されると、自動的にアクセス遮断やスナップショットの取得を行い、管理者にアラートを出すという防御策を取ることができます。
異常検知により、初期段階で対処できるため、被害を最小限に抑えられるほか、異常検知後にすぐにスナップショットを取れるため、感染前の状態に戻しやすいというメリットがあります。

手動での監視に比べても圧倒的に効率的に行えるため、スナップショット機能を活用した復旧対策では、こうした仕組みの活用もオススメです。

イミュータブルとは、一度書き込まれたら書き換えや削除ができない状態のことを指します。

最近、ランサムウェア対策では、バックアップを一定期間変更、削除できないようにしてバックアップデータをランサムウェア感染から防ぐため、このイミュータブル機能を有効にしたデータ格納先を使う事例が増えてきたと感じています。

ストレージのスナップショットも、ランサムウェアによって改ざんや削除されてしまっては意味がありません。万が一ランサムウェアに感染したとしても、変更、削除ができないようにイミュータブルな領域にスナップショットを保存しておく運用が広がりつつあると言えるでしょう。

ストレージベンダーによってイミュータブル機能の実装方式はさまざまですが、一例としてストレージ筐体内にデータ改変不可な隔離された区画を論理的に設け、スナップショットを当該区画に保管することでランサムウェア感染時もスナップショットデータの改変や削除を防ぐ製品などが挙げられます。

なお、イミューダブル機能は、すべてのストレージ製品に搭載されているわけではなく、エンタープライズ向けの上位モデルやバックアップ専用のアプライアンス製品などに限られる傾向があります。一部の製品では、オプションで利用することもできるため、ストレージでランサムウェア対策を行いたいという場合は、スナップショットをイミューダブル化できるかどうかも、導入時に確認すると良いでしょう。

いかがだったでしょうか。今回、ストレージにおけるランサムウェア対策として、2つの仕組みをご紹介しましたが、いずれも、ストレージ製品が高速、大容量化したことで実現できるようになった仕組みと言えるでしょう。

これまでは、ストレージ外に保管されたバックアップからの復元が、ランサムウェア対策における復旧策の主流とされていましたが、ストレージのスナップショット機能やイミューダブル機能をうまく活用することで、より安全性を確保しながらスピーディーな復旧も実現できるようになっています。

S&Iでは、ランサムウェア対策などのご要望も踏まえたインフラ構築支援もご提案しています。ご興味のある方はぜひ、ご相談ください。