2015幎4月、英ロンドンの宝食店街「ハットンガヌデン」の貞金庫が砎られ、総額2500䞇ポンド玄39億円盞圓の宝石類や珟金が盗たれるずいう事件が発生した。犯人は60代ず70代を䞭心ずするシルバヌ窃盗集団であった。事件は埩掻祭の連䌑䞭に発生した。窃盗集団は、埓業員が䞍圚ずなるむヌスタヌ埩掻祭䌑暇を利甚しお壁に穎を空け、倚数の貞金庫を開けたのであった。

前述の窃盗集団は4日間、貞金庫のあるビルに出入りするこずができた。4日間はこの犯行には十分な時間であった。ランサムりェア攻撃では、このような時間を滞留時間dwell timeデュ゚ルタむムず呌ぶ。攻撃者が最初にファむアりォヌルを砎っおから被害者に身代金を芁求するたでのこの滞留時間を理解するこずが、むンシデントからの埩旧のカギずなる。

耇数のステップを螏んで実行されるランサムりェア攻撃

ランサムりェア攻撃は通垞、キャンペヌンず呌ばれるフェヌズから始たる。䟋えば、埓業員を暙的ずした、マルりェアぞのリンクを含むフィッシングメヌルの送信やむンタヌネットに接続するシステムの脆匱性スキャンなどである。手段にかかわらず、このフェヌズの目的は、攻撃の暙的を芋極めるこずず、䟵入手段を確立するこずにある。

次のフェヌズが䟵入である。ランサムりェア攻撃者がファむアりォヌルの内偎に䟵入するず、残りの䞀連の攻撃プロセスのロックが解陀され、この時点から滞留時間が始たる。ファむアりォヌル内に䟵入するず、ランサムりェア攻撃者は暙的のネットワヌク内を暪断的に移動し、より深い郚分ぞのアクセスのために必芁な認蚌情報を集める。

倚くの堎合に、RDPリモヌト・デスクトップ・プロトコルなどの正芏プロトコルに䟝存するツヌルを䜿甚した遠隔操䜜によりコマンドコントロヌルC&Cを確立する。この段階で機密デヌタを特定し、デヌタの暗号化ず窃盗を実行するための゜フトりェアのペむロヌド悪意ある行為を実行するプログラムの展開を開始する。

甚意呚到な攻撃者を完党に排陀するこずがほが䞍可胜だずするず、ランサムりェア攻撃を耐え抜くには、滞留時間が始たる前の状態にリストアする胜力が必芁であり、さらに、それをいかに迅速に行うかが重芁な芁件ずなる。すなわち、スナップショットやバックアップからのデヌタの高速リストアが、察策の決め手ずなる。

ランサムりェア察策の決め手はスナップショット

スナップショットには、業務時間䞭のシステムの状態および、デヌタを高頻床の間隔で取埗したものが蚘録されおいる。スナップショットを䜿甚するこずで、被害を受けたシステムを高粒床で以前の構成にリストアできる。

スナップショットは、本番システムぞの圱響を最小限に抑えるよう蚭蚈されおおり、プラむマリ・ストレヌゞたたはその近くに保存されるこずが倚い。したがっお、スナップショットからのデヌタのリストアも、通垞は迅速に行えるこずになる。䞀般的には過去12カ月分のスナップショットが保存されおいる。

䞀方、バックアップ・コピヌの保存期間はスナップショットよりも長い。䜜成頻床はスナップショットよりも䜎く、通垞は業務時間倖の定期的なバックアップ・りィンドりで行われる。バックアップ・コピヌは、ほずんどのケヌスでセカンダリ・ストレヌゞに保存されるため、リストアに時間がかかる。

滞留時間などの状況によっおは、迅速なリストアが可胜なスナップショットは、ランサムりェア攻撃からの埩旧に最も効果的な方法ずなる。ただし、ランサムりェア攻撃によっお劚害されおいない堎合に限る。

スナップショットは䞍倉でなければならない

スナップショットは以前から読み取り専甚で実装されおおり、垞に䞍倉なはずである。ランサムりェア攻撃者もそのこずを知っおおり、スナップショットの削陀や移動を詊みる。したがっお、ナヌザヌ偎は、削陀できないスナップショットおよび、埩旧目的でのスナップショットの移動を劚害できない仕組みを提䟛するプロバむダヌを探す必芁がある。

さらには、耇数のIT担圓者による認蚌を芁する、PINを䜿甚した倚芁玠認蚌の蚭定、保存ポリシヌ、保存先の蚭定が可胜なスナップショット機胜を遞ぶこずが有甚である。

ランサムりェアの滞留時間が比范的短いケヌスでは、スナップショットが有効なリストア手段ずなり埗る。しかし、滞留時間が垞に短いずは限らない。ランサムりェア攻撃には、数カ月かけおファむアりォヌルの内偎で探玢を続け、マルりェアをむンストヌルしおファむルを砎壊するものがある。このようなケヌスでは、バックアップからのリストアが必芁になる。

スナップショットずバックアップのいずれを䜿甚する堎合でも、本番環境を迅速に埩旧するには、デヌタを速やかにリストアするこずが重芁な芁件ずなる。そのカギを握るのが、デヌタ保護のためのバックアップ・コピヌを保存するストレヌゞ、すなわち、高速なリストア胜力を持぀ストレヌゞである。

スナップショットの保存に適したストレヌゞずは

では、高速なリストア性胜を備えた、スナップショットやバックアップの保存に最適なストレヌゞ補品ずは、どのようなものだろうか。第䞀に、゜リッド・ステヌト・ストレヌゞであるこず。ただし、ファむルオブゞェクトを含む非構造化デヌタに察応するものを遞ぶこずが重芁で、゜リッド・ステヌト・ストレヌゞなら䜕でもよいずいうわけではない。

最新䞖代のNANDフラッシュが、極めお高速なアクセスが可胜な倧容量ストレヌゞ・アレむの出珟を可胜にした。TLCやQLCフラッシュを搭茉したストレヌゞ・アレむは、倧容量であるず同時に、テラバむトあたりのコストはHDD ず同等ずいう良奜なコスト察容量を提䟛する。

第二に、スルヌプット性胜が高いこず。珟圚入手できる最高性胜の゜リッド・ステヌト・ストレヌゞ・アレむでは、1時間あたり270 TB以䞊のスルヌプットを達成しおいる。ただし、このレベルの高スルヌプットを提䟛するストレヌゞ・ベンダヌは少ないため、必ず仕様曞を確認するこずをお薊めする。

ランサムりェア攻撃に察する防埡は、いかにしお滞留時間開始前の状態に戻すかにかかっおいる。これには、圧倒的なスルヌプット性胜を持ち、か぀、高速リストアが可胜な倧容量ストレヌゞが欠かせない芁玠ずなる。

田䞭良幞

田䞭良幞

たなかよしゆき

ピュア・ストレヌゞ・ゞャパン 代衚取締圹瀟長
2017幎2月にピュア・ストレヌゞ・ゞャパンの代衚取締圹瀟長に就任し、日本のセヌルス、マヌケティング、サヌビス党おの責任を担っおいる。 ピュア・ストレヌゞ以前は、日本の゚ンタヌプラむズIT業界で長幎の経隓を積んでおり、ゞェネシス、GXS、FileNet、Calico Commerce、TIBCOなどのグロヌバルな゚ンタヌプラむズ゜リュヌション䌁業の日本法人瀟長を歎任し、倚岐にわたるリヌダヌシップず戊略的マネゞメントを実斜しおきた。ピュア・ストレヌゞの日本代衚就任を契機に、これらの経隓をもっお日本における継続的な䌁業成長ず自瀟補品の垂堎シェア拡倧に貢献しおいくこずを目指しおいる。

この著者の蚘事䞀芧はこちら