ランサムウェア被害の実例から学ぶ
自社データを守る業務停止を回避する3つのポイント

打つべき手はあった！実例に学ぶランサムウェア対策 ETERNUS NR1000 series

掲載日：2018年2月28日

昨今、ファイルやフォルダを暗号化したりパソコン画面をロックしたりして修復と引き換えに身代金（ランサム）を要求するランサムウェアによる被害事例が世界の至るところで起こっています。さらに、日本語表記のランサムウェアも登場し、2016年には前年比9.8倍の被害が報告されるなど国内における被害も急増しています。

国内でのランサムウェア検出台数推移

電子メールの添付ファイルやリンク、あるいは脆弱性などを悪用してWebページから感染するなど、感染方法は様々。しかも感染したPCだけではなく、ネットワーク経由で共有ファイルサーバなどへ影響が及ぶ場合もあり、工場の操業停止など現場への直接的な被害が多数報告されています。
また、身代金を支払ったとしてもファイルを元の状態に戻してもらえる保証はありません。こうした被害を最小限に抑え、迅速に復旧させるには、どのような対策をとっていればよいのでしょうか。

状況を二分したランサムウェア被害の実例

近年の実例から、ファイルサーバ視点で考えるランサムウェア感染のリスクを見てみましょう。

社内の複数のサーバがランサムウェアに感染する中、無傷のサーバが存在

● 発生時点

本社、工場、および全国の支社・営業所をネットワークでつなぎ、A拠点で事務系のサーバ、B拠点で技術系のサーバを管理しているA社。ある週明けの始業時に、A拠点のサーバのファイルが暗号化されてアクセス不可能になりました。どこからかランサムウェアが侵入し、サーバが感染していたのです。

本社（A拠点）の対応と状況	工場（B拠点）支社（C拠点）の対応と状況
Windows系NASサーバで運用していたA拠点。手がつけられない状況に自力復旧を断念しベンダーに救助要請をはかるテープバックアップからのデータ復旧。ただし、最新データではなかったため完全復旧ならず復旧作業に約一週間を要し、その間は業務停止に近い状況に陥った	A拠点の状況と異なり、ファイルサーバ専用OSのサーバを採用していたB拠点は感染を回避。技術系の図面などは事なきを得る

ファイルサーバ視点で考えるランサムウェア感染のリスク

運命を二分したのはファイルサーバの種類でした。ファイルサーバの視点で考えると、上記実例でランサムウェア攻撃を受けるリスクは「①侵入」「②感染」「③暗号化」の3つが考えられます。

まず1つは、電子メールの添付ファイルやリンク、あるいはOSの脆弱性の悪用などによる、インターネットから社内ネットワークへの侵入です（①）。最近では標的型攻撃メールと同様、手口も巧妙化しています。電子メールの添付ファイルやリンクを悪用した侵入は、いくら従業員を教育しても完全徹底は非常に困難と言わざるを得ないのが実情です。またOSの脆弱性を突いて侵入するランサムウェアの場合は、セキュリティ更新プログラムの適用が遅れてしまうと容易に侵入を許してしまうことになります。

2つめのリスクは、ファイルサーバのOS自体の感染です（②）。一般的に多く使われているWindowsは、攻撃対象が多いためランサムウェアの標的になり易いのです。そして3つめのリスクは、ファイルの暗号化です（③）。①と②が突破されると、暗号化は正規の手順として実行され、防御はもっとも困難です。ファイルは本来、コンピュータからのアクセスを受けるものであり、たとえそれが不本意な暗号化であっても、ファイルサーバからすれば「正当な」上書きアクセスにしか見えません。

ランサムウェアの脅威に備える3つのポイント

ランサムウェア対策は、攻撃を受ける前提で取り組む必要があります。防護はもちろんですが、ファイルが暗号化されてしまった場合の想定も必須。データ復旧までを視野に入れた対策が求められます。対策のポイントは次の3つに集約できます。

汎用OSは攻撃を受ける頻度が高いため、こまめにセキュリティ更新プログラムを適用し、またセキュリティ対策製品を導入するなど防護策を十分に巡らすことが肝要です。A社は何らかの理由で更新プログラムの適用が行われていなかったことから、攻撃対象となるOSのサーバ複数台が被害にあいました。最近は、汎用OSのリスクを踏まえて、攻撃を受けにくい専用OSのファイルサーバの注目が高まっています。

常時オフライン＆非同期のバックアップは必須です。媒体としては、別筐体のストレージ、テープ、クラウドのいずれかを検討することをおすすめします。低頻度のバックアップは、自ずといざ復旧する際のデータは不完全なものになります。重要データのみを部分的に高頻度でバックアップしたり、差分コピーの技術を活用して全体を高頻度でバックアップしたりすることにより、運用負荷を軽減できます。

RPO（Recovery Point Objective：目標復旧時点）／RTO（目標復旧時間）の要求レベルを考慮するとともに、運用手順を明確にしておくことが必要です。またリハーサルを実施し、実際にリストアが必要になった場合の業務停滞を可能な限り短縮できるよう準備しておきましょう。要求レベルによっては高速リストア技術を持つ製品の検討も必要です。

3つのポイントに応える最適なストレージ！

富士通の「ETERNUS NR1000 series」は、ファイルサーバに特化した独自設計の専用OS「ONTAP」を採用。汎用OSのような攻撃に晒されにくく、堅牢な作りで高いセキュリティレベルも実現しています。

バックアップ機能においても、業界最高峰のSnapMirrorを装備しており、容量を問わず高速バックアップが可能です。差分コピーで複数世代をバックアップできるSnapshotも、筐体内にReadOnlyで保持するためランサムウェアによって暗号化されるリスクがありません。また従来からのテープに加え、クラウドへの直接データ退避も実装しています。

一般にテープやクラウドなどからの復旧は長時間を要しますが、SnapRestoreを使えば任意のSnapshotからの復旧もほぼ瞬時に完了。超高速リストアで業務停止を最小化します。

		Windows系NAS	ファイルサーバ特化型ストレージ
評価	OS	汎用OS	専用OS
評価	バックアップリストア機能	十分な機能を備える（データ量が多い場合のバックアップやリストアはデータ保護や復旧時間の点で懸念）	きめ細かい機能を備える（データ量が多くても、ほぼ瞬時にバックアップやリストアが可能）

前述の被害を受けた企業ではその後、容量を問わずデータ保護機能を確保できる点や、ウイルス感染や攻撃に強い点など、ETERNUS NR1000 seriesの特長を再認識。「専用機は高い」というイメージがありますが、ひとたび感染したときの被害は専用機のコストをはるかに超える甚大なものであることを実感したといいます。本社のファイルサーバをETERNUS NR1000 seriesに置き換え、またSnapMirrorによる高速バックアップを採用するなどバックアップ・リストア運用を全社的に見直しました。

富士通では、堅牢なETERNUS NR1000 seriesにより、平常時のバックアップ運用も含め、ランサムウェアをはじめとするセキュリティ対策、および事業継続の観点から、お客様の資産を守ります。