米国サイバーセキュリティ・インフラセキュリティ庁(CISA)のランサムウェアの説明ページ (US-CERT)では、ランサムウェアについて、「身代金を払うまでコンピュータシステムやデータへのアクセスができなくなるように設計された悪意あるソフトウェア、すなわちマルウェアの一種である。ランサムウェアは一般的にフィッシングメールを介して、または感染したWebサイトを知らずに閲覧することで拡散する」と説明しています。
サイバー犯罪者によるランサムウェア攻撃は何百万ドルという損害を被害者に与えます。ある調査によると、2020年の被害総額は、米国で14億ドルに及ぶ可能性があると指摘されています。あらゆる業界の組織、政府機関、ITプロバイダ、教育機関などが、最大規模の攻撃の被害者となっています。絶対に攻撃されない組織はありませんが、対策を徹底させるための戦略は存在します。
ランサムウェアから復旧するためのベストプラクティス
ランサムウェア攻撃は、組織が体験する可能性のある復旧シナリオの中で、最悪のものです。攻撃を受けた企業や機関は多くの場合、攻撃によって生じた運用や流通の様々な問題に対処することになります。Rubrikは、ランサムウェア攻撃から無事に復旧できるよう、多数のお客様をサポートしてきた実績があります。その結果として、Rubrikはランサムウェア攻撃への対策、攻撃の特定と軽減の一助となる一連のベストプラクティスを作成しました。ランサムウェア攻撃対策のベストプラクティスには、基本的な5つの手順が含まれています。
- 対策 - ランサムウェア攻撃への対策をあらかじめ用意しておくことで、成功に近づくことができます。
- 予防 - サードパーティ製のツールを使用して、ランサムウェアによるシステムへの侵入と攻撃を阻止できるようにします。ランサムウェアによる損害が発生する前に、攻撃を察知します。
- 検知 - Rubrik Radarなどのツールを適用し、ランサムウェアの攻撃場所を検知して、正確な修復を可能にします。
- 評価 - 評価中に、最初に何をいつ復元するか決定します。
- 復元 - ランサムウェアを無効化し、データの再感染を防いでようやくデータの復元が可能になります。
効果的なランサムウェア復旧計画において重要となる要素
ランサムウェアによってITリソースが攻撃された場合には、その攻撃に瞬時に対応できる態勢が必要です。ランサムウェア復旧計画には以下のタスクを含める必要があります。
- トリガーとなるファイルの発見 - まずトリガーファイルを発見し、すべてのデバイスから除去します。
- 攻撃の種類の確認 - ランサムウェア攻撃の種類を特定すれば、次のステップが決定しやすくなります。ランサムウェアは基本的に、画面ロック型と暗号ベース型の2種類があります。
- 全デバイスの隔離 - ランサムウェアの影響を限定します。攻撃の拡散を防ぐために、脆弱なデバイスをすべてネットワークから切り離します。
- ランサムウェアの把握 - ランサムウェア攻撃の種類によっては、Webベースのソフトウェアでデータ復元が可能かもしれません。ランサムウェア暗号解除ツールを使えば、暗号化されたファイルの復号化ができるかもしれません。マルウェア専門家に助言を依頼してください。
- ファイルシステムのリストア - 理想は、「失われた」データをできるだけ多くリストアすることです。バックアップデータを使えばそれが可能ですが、注意が必要です。ランサムウェアの滞留時間は最長6か月なので、マルウェアがアーカイブバックアップに潜んでいる可能性があります。リストア前に、すべてのシステムでマルウェア対策パッケージを実行してください。
Rubrikのランサムウェアへの対策アプローチ
Rubrikはランサムウェア防止のソリューションではありません。攻撃の検知と修復のための最後の砦です。Rubrikは機械学習を使うことで、バックアップの中身を精査し、ランサムウェアによるデータ変更を検知します。その後、感染していないデータのコピーを特定でき、それをランサムウェア攻撃後のデータのピンポイントリストアに使用できます。それができなければ、システム全体の復元が必要になり、感染していない健全なデータを失うことになります。
ランサムウェアに攻撃され、暗号化解除の身代金の支払いについて悩む前に、ランサムウェアの攻撃への対処を検討しましょう。最も重要な懸念はデータの保護です。攻撃への対処方法と、攻撃からの復旧計画を策定し、組織ならびに事業の継続性を守りましょう。
Rubrikのアプローチがランサムウェア攻撃からの保護にどのように役立つか、詳細をご確認ください。