サイバー攻撃は多様化・巧妙化の一途をたどっており、その脅威はますます高まっている。完全に防ぐことはもはや困難……との指摘も半ば常識化している状況だ。そうともなると、防御策はもちろん重要ではあるものの、それだけでは足りない。いざ攻撃を受けた後に被害を最小限に抑え、迅速かつ確実に復旧するための対策がより重要になってきたといえるだろう。

とはいえ、具体的にどういった対策を実施すればいいのか。2023年6月22日、Webセミナー「サイバー攻撃の被害から復旧できる自信はありますか?『完全には防げない』時代に必要な対策とは」が開催された。

基調講演では情報通信研究機構 サイバーセキュリティ研究所 主管研究員、横浜国立大学 客員教授、内閣官房 内閣サイバーセキュリティセンター(NISC) 参与の中尾 康二 氏が、「最近のサイバー攻撃脅威、および総合的なセキュリティ対策の動向」について語った。

中尾氏は、昨今のサイバー攻撃の脅威がどのようなものなのか、これらの問題が企業に与える影響、今後企業側が考えていかなくてはならないセキュリティ対策について、最新の情報セキュリティインシデントの事例を交えて解説した。

講演のなかで中尾氏は、サイバー攻撃の脅威の多様化・巧妙化が年々変わってきており、早期の段階で「攻撃(予兆)を観測(補足)」し、知見を収集・分析すること、そして利益関係者との情報共有を行う連携構造の構築・改善を行うことの重要性を指摘するとともに、攻撃の被害にあった場合の復旧対策についても触れた。サイバーセキュリティの脅威と対策、それに伴う指針・考え方が中尾氏の視点から語られた講演となった。

その後、デル・テクノロジーズ株式会社の鈴木敏通氏による講演「防ぎきれないサイバー攻撃。データレジリエンスのためのデータ保護『Cyber Recovery』」が行われた。本記事では、鈴木氏の講演の模様をダイジェストでお届けする。

  • デル・テクノロジーズ株式会社
    DPS事業本部第二営業部
    営業戦略推進担当部長
    鈴木 敏通 氏

バックアップデータの破壊に備える“サイバーリカバリー”の考え方

鈴木氏が所属するDPS事業本部の「DPS」はData Protection Solutionsの略で、鈴木氏は同本部でバックアップ製品の営業戦略を推進する立場にある。

最近は、バックアップデータを破壊するような攻撃も出てきており、そこで注目されるのが「サイバーリカバリー」という考え方だと鈴木氏は語る。

「サイバーセキュリティの“セキュリティ”は防御策、つまり被害に遭わないようにするための対策です。その一方で、今はいくら防御してもリスクはゼロにできないことから、リカバリーに着目することが重要になっているわけです」

近年主流のサイバー攻撃手段といえば、やはりランサムウェアだ。鈴木氏は大手自動車メーカーのサプライチェーンで発生したランサムウェア被害により、自動車メーカーの工場まで操業停止になってしまった件や、製粉大手が受けた大規模攻撃でバックアップデータまで暗号化され、復旧不能になった件など、国内で起きたインシデント事例を紹介。「バックアップデータへの攻撃はこれが初めてだったわけではなく、以前から当たり前のように行われてきました」と指摘する。

DPS事業本部では、ダウンタイムやデータロストの原因について独自調査を行ってきた。2021年の調査結果では「ハードウェア障害(46%)」「ソフトウェアエラー(41%)」「データ破損(32%)」「電源供給の問題(32%)」などが上位で、「外部からのセキュリティ侵害(31%)」は5位、「内部からのセキュリティ侵害(18%)」は8位だった。それが2022年になると、1位が「外部からのセキュリティ侵害(42%)」、そして「内部からのセキュリティ侵害(32%)」も5位へと上がっている。

昨今は多層防御という考え方が浸透し、何層にもわたる防御でセキュリティを強固にしている企業も増えているが、「防御を重ね、たとえ99.9999%大丈夫になったとしても、絶対にゼロにはなり得ません。これが防御策の限界です」と鈴木氏。だからこそバックアップが重要になるわけだが、その肝心のバックアップデータが壊されてしまうとすれば、どうすればいいのか。

“ただのバックアップ”ではデータ復旧が困難になる場合も

サイバー攻撃の手法は大きく分けると「ばらまき型」と「標的型」の2つに分かれると鈴木氏。「ランサムウェアはばらまき型で、主な動機は金銭狙いです。対して標的型はいわゆる環境寄生型で、各企業・組織のシステムやネットワーク状況を把握したうえで、その環境に最適化した攻撃プログラムを仕込みます。こちらの主な動機としては金銭目的に加えて、怨恨やテロリズム、政治・宗教などの思想的アピールに使われるものも多い傾向にあります」と解説する。

サイバー攻撃を仕掛ける側からすれば、復旧されると金を奪えないため、バックアップデータを破壊する仕組みは以前からランサムウェアに組み込まれていたという。鈴木氏によると、その代表例がZenis(2018年3月頃)、CryptoWall(2014年)、SamSam(2018年7月頃)の3つ。ZenisにはWindowsのVolume Shadow Copyサービス(VSS)の無効化やVSSで取ったコピーの削除、スタートアップ修復の無効化、Windows Backupのプロセス停止などが含まれていた。また、CryptoWallはPCだけでなくHyper-Vの仮想マシンのリストアポイント削除の仕組みが組み込まれていた。

「Windowsのバックアップ機能を使わず、ベンダーが提供するソフトウェアを使ったとしても、それらのソフトウェアで使われるバックアップファイルの拡張子をデータベースとして持ち、接続された全ドライブをスキャンして見つけ次第削除するという非常にいやらしいランサムウェアも登場しています」(鈴木氏)

こうしたところから、ユーザー数が多いためターゲットにされるWindowsベースのソリューション、またバックアップデータ保存先としてディスクやNASを利用する“ただのバックアップ”は、サイバー攻撃には無意味だと鈴木氏は強調する。Windowsベースのバックアップサーバーが狙われるとバックアップカタログが暗号化されたり消去されたりするほか、感染したPCを介して間接的被害を受ける場合もあり、バックアップデータからの復旧はきわめて困難になるという。

また、NASに使われるCIFS/NFSといったプロトコルは、データを守るための仕組みではないため、感染・侵入されれば攻撃者にもデータが共有される状態になってしまうということだ。そういった事情からテープデバイスが見直されているが、管理・運用が複雑化してしまう問題があり、運用負荷の課題も出てくると鈴木氏は指摘した。

続いて鈴木氏は、サイバー攻撃の被害を受けた際の復旧において“多世代バックアップ”が非常に重要なポイントになると述べる。

サイバー攻撃は、開始から目的達成までいくつものステップを踏む。そのなかのどこかで断ち切るのがサイバーセキュリティ=防御策の考え方で、エンドポイントセキュリティ、EDR/XDRなどの様々なソリューションが存在する。対してサイバーリカバリー=復旧策は「防御・検知のステップをすり抜け、目的が達成されてしまった場合に初めて動き出す仕組み」(鈴木氏)だ。

ハードディスクの物理的障害や災害時のトラブルに対応する復旧の場合は、データロスト発生直前のバックアップデータに戻せばいい。ところがサイバー攻撃の被害からの復旧は、直前ではなく、不正プログラムが侵入・感染する前のバックアップデータを探し出し、そこに戻さなければならない。それも、数日や数週間で十分なケースもあれば、数百日前といった長期のケースもあり得る。

これについては「どこまでのリスクを想定し、どこまでのコストを投じるかは企業により異なる判断になり、各企業の社内事情と照らしながら適切なコストをかけて対策していくことが重要です。バックアップデータの世代数も、そうした要素のひとつだと考えればいいでしょう」と鈴木氏。そのうえで、同社がサイバーリカバリーの考え方をもとに提供する「PowerProtect Cyber Recovery」に話を進めた。

安全な復旧を実現するリカバリーソリューション

鈴木氏は、サイバー攻撃の被害から復旧するための重要なポイントとして「防御」「隔離」「衛生」の3つを提示し、それぞれについて説明を加える。

まず「防御」は、そもそもターゲットとなるようなプラットフォームでのバックアップを避け、またバックアップデータを改ざんできない形で保護しておくことだ。次に「隔離」は、ネットワークにつながっていればどれほど堅牢な仕組みを用意してもリスクをゼロにはできないため、攻撃側から“見えない”場所に復旧用のバックアップデータを隔離することが重要ということだ。そして「衛生」は、隔離してデータを守るだけでなく、隔離したデータの汚染状況を分析し、安全な復旧用データを確保して、リスクをフィードバックすることだという。

防御に関しては、デル・テクノロジーズが提供するソリューションはすべて自社開発のOS、プロトコル、ファイルシステムで保護していると鈴木氏。古代の壁画を例に出し、“脱IT・脱ネットワーク”がPowerProtect Cyber Recoveryの軸になると話した。

通常であればストレージや専用アプライアンスに1次バックアップを取得するが、同ソリューションはレプリケーションの通信同期を取るタイミングだけネットワークを開け、それ以外はネットワークを閉じる仕組みを採用。また本番環境と完全に切り離された、バックアップデータ保護のためだけのネットワークセグメントになっており、ここにコピーされたデータを改ざんできないようにロックした状態で保持する。

このネットワークの開閉は本番環境側で管理しているわけではないため、仮に管理権限が盗まれても侵入できない、“脱IT・脱ネットワーク”に近い環境であると鈴木氏は解説する。さらには、本番環境がダウンし、データロストしてしまった場合にも、この場所にあるバックアップデータを分析して、復旧すべき適切なデータを解析する仕組みが用意されているという。

「防御、隔離、衛生という3つのステップのどれを実行するか、全てを実行するかといった判断は、企業がどこまでのリスクを想定し、どこまでのコストを投じるかによって変わってきます。ただし、絶対にやらなければならないのは防御です。そのため、前述のように攻撃のターゲットとなりやすいプラットフォームを用いた、共有ディスクへのバックアップは絶対にやめましょう、ということだけは声を大にして言いたいところです」(鈴木氏)

ちなみにPowerProtect Cyber Recoveryは、2017年にWannaCryが日本で見つかり、ランサムウェアが話題となる以前の2015年から提供しているソリューションだ。「大手企業はもちろん中堅中小企業のお客様にも数多く導入いただいている実績のあるソリューションですので、ぜひご安心いただければと思います」と鈴木氏は語った。

最後に鈴木氏は「防御策だけではなく、復旧策に今一度目を向け、バックアップ環境とデータ保護環境の見直しを検討いただければと考えています」と話し、セミナーを締めた。

[PR]提供:デル・テクノロジーズ