ここ数年、サプライチェーンを標的としたランサムウェアを用いた持続的標的型攻撃(APT: Advanced Persistent Threat)が多発するようになった。こうした状況を受けて、これまでランサムウェアに対して危機感が薄かった日本の経営層も、自社がランサムウェアで事業継続不能に陥る可能性があると危機感を募らせるようになってきている。

ランサムウェア攻撃の対策がバックアップであることは今も昔も変わらないが、それでも暗号化されたデータを元に戻せないことがある。なぜバックアップを取っていても、データを復元できないのか、RubrikのCEOを務めるBipul Sinha氏、Presidentを務めるDan Rogers氏に聞いた。

ランサムウェア脅威への関心が高くなった日本企業

以前は、海外ほど日本におけるランサムウェアの脅威は大きくなかった。しかし、ここ数年でランサムウェアの脅威を感じる日本企業が増えている。サプライチェーンを標的とした高度な持続的標的型攻撃がさまざまな業界に対して実施されるようになってから、危機感が高まっている。というのも、標的型攻撃の被害を受ける日本企業が出てきており、他人事ではないという危機感が日本の経営層に出てきているのだ。

Sinha氏は「こうした日本の状況をよく感じる」と話す。同社の年次イベント「Rubrik Forward 2022」の開催直前まで日本にいた同氏は、日本のさまざまな業界がランサムウェアの脅威を感じており、ランサムウェアによるサイバー攻撃を受けても復元できるシステムを求めていると指摘する。ヘルスケア、リテールなど、さまざまな業界がランサムウェアに対応できるソリューションの導入を模索しているという。

  • Rubrik CEO、Bipul Sinha氏

    Rubrik CEO, Bipul Sinha氏

RubrikはRubrik Forward 2022で新しいサービス「Rubrik Security Cloud」を発表した。これはオンプレミス、クラウド、SaaSのどのプラットフォームに対してもRubrikの提供するデータ保護の機能を提供するサービスだ。Rubrikはすでにオンプレミスやクラウドに対するプロダクトを提供しているが、今回発表された新しいサービスはこうした需要すべてを満たすことになる。

Rubrikの提供するサービスは、ファイルがランサムウェアによって暗号化された場合でも安全にクリーンなコピーに戻すことができる。サイバー犯罪者に絶対に侵入されないようにするのではなく、サイバー犯罪者に侵入されてファイルが暗号化された場合でもすぐに戻せるようにする、これがランサムウェアに対する確実な対策方法になってくるようだ。

復元のポイントはランサムウェアに感染した時期を突き止められるか

ランサムウェアに感染してデータを暗号化された企業の多くは身代金の支払いに応じている。これにはいくつかの理由があるようだが、「いつ感染したのかがわからない」ことが大きな理由であるとRubrikのPresidentであるDan Rogers氏は説明する。

  • Rubrik President、Dan Rogers氏

    Rubrik President, Dan Rogers氏

ランサムウェアに感染してファイルが暗号化された場合、ファイルを暗号化される以前の状態に戻す必要がある。それにはシステムがランサムウェアに感染したタイミングを正確に知る必要がある。そこから暗号化されたファイルを探していく。そうすることでランサムウェアの駆除と暗号化される前の状態へバックアップからファイルを復元するといったことができる。つまり、ランサムウェアに感染したタイミングがわからないとファイルを正確に元に戻すことが難しいのだ。

このため、自力ですべてを元に戻すのは難しいと判断して身代金の支払いに応じてしまうようだ(ただし、身代金を支払ったからといって必ずしも暗号化されたファイルが復元されるわけではないし、各国のセキュリティ当局は身代金の支払いには応じないように求めている)。

Rogers氏は、「Rubrik Security Cloud」ならランサムウェアに感染したタイミングを正確に把握できると語る。同サービスはスナップショットを取り続けており、そのスナップショットの真偽性を過去のスナップショットと比較しながら常に計算している。スナップショットを取り続けることで、そのシステムにおける異常を検出しやすくなるということだ。

マルウェアのセキュリティ侵害インジケータ(IoC: Indicator of Compromise)は複数のリソースから常に最新のものが取得されており、これもスナップショットを調査することで感染した時期がわかるようになっている。「Rubrik Security Cloud」の特徴はこのようにデータを復元するのみならず、「どの時点でランサムウェアに感染したのか」「どのファイルがどの段階で暗号化されたのか」を正確に知ることができる点にある。

ランサムウェアへの感染時期、ランサムウェアによって暗号化されたファイルを正確に把握することができれば、それらファイルを駆除およびクリーンコピーへ復元することでシステムは感染前の状態に戻る。身代金の支払いに応じる必要もなくなるということだ。

企業にとって、ランサムウェアによるサイバー攻撃で事業の継続が困難になることは避けなければならない事態だが、これまでのセキュリティ技術だけではランサムウェアに感染して暗号化が行われた際に対処できないことが多かった。しかし、「Rubrik Security Cloud」のようなサービスを使うと、ランサムウェアに感染した場合もファイルの復元が容易というわけだ。同サービスの導入により、パフォーマンスが低下することもないという。

最悪の事態からも復元できるようにしておくことの心強さ

サイバー攻撃を受けた際の事業継続という課題に対して、IT部門の人々はさまざまな取り組みを行っている。しかし、システムが侵入されてランサムウェアによるサイバー攻撃を受けると、担当者にできることはあまりにも少ないことがある。特にこれまでのバックアップシステムはサイバー犯罪者からアクセスできない場所に隔離して構築されていないことが多く、バックアップも含めて暗号化が行われてしまい手も足もでない状況に陥ることがあった。

「Rubrik Security Cloud」はランサムウェアに感染してファイルが暗号化された場合を想定して設計されており、そこからデータを復元することができるという仕組みを提供している。これは事業継続を実現しなければならないIT担当やセキュリティ担当にとって心強いツールになるはずだ。

もはや、どの企業が狙われてもおかしくないほど、世の中にはセキュリティの脅威があふれている。ランサムウェア攻撃による被害は特に深刻だ。これを機に、自社のランサムウェア対策を見直してみてはいかがだろうか。