ランサムウェア被害に向け、FBIが企業に示した「最低限のバックアップ対策」とは：マイクロソフトがAzure Site Recovery／Backupなどで実現できることを紹介

FBIが発表したランサムウェア攻撃に対する企業向けガイドラインを踏まえ、マイクロソフトがランサムウェア攻撃に関する現状と課題を解説。あらためて両者が伝えた、「最低限のバックアップ対策手段」とは何か。

[＠IT]

　米マイクロソフトは2016年11月4日（米国時間）に公開したブログ記事で、米FBI（連邦捜査局）が発表したランサムウェア（身代金要求型マルウェア）攻撃に向けて企業が取るべきガイドラインを踏まえ、FBIが企業が取るべき指針として示した「最低限のバックアップ対策」を遂行する重要性をあらためて伝えた。

RANSOMWARE VICTIMS URGED TO REPORT INFECTIONS TO FEDERAL LAW ENFORCEMENT（出典：FBI 2016年9月）

　発表されたガイドラインによると、2016年第1四半期にサイバー犯罪者がランサムウェア攻撃によって企業や団体のコンピュータやサーバをアクセス不能にし、復旧と引き換えに脅し取った金額は2億900万ドル（約220億円）に上った。また、こうした被害をさまざまな理由から報告しない企業も多い現状から、実際の被害額はもっと多い可能性が高いという。

　ランサムウェア攻撃を受けた組織は、身代金を支払うか否かの選択を迫られる。しかし、どちらの選択肢も理想的なものではない。

　身代金を支払えば、ひとまず被害を受けた環境を復旧できるかもしれない。しかし、本当に復旧できる保証はなく、「弱い」と見なされて再び攻撃されたり、追加の支払いを要求されたりすることもある。また、犯罪組織に身代金を支払うということは、もっと大きな犯罪組織に資金が流れていく可能性もある。

　一方で、身代金を支払わなければ、システムを自力で復旧させる必要がある。しかし、明確なリカバリー環境を整備していなければ困難であり、その間は業務に大きな支障を来すのは想像に難くない。売り上げだけでなく、信頼性を損ねることなども踏まえたビジネス上の損害となる。

　一般的にランサムウェア攻撃の防止策としては、あらゆるマルウェア攻撃の防止策と同様に、社員に対する電子メールの適切な使い方の教育、ハードウェアとソフトウェア、とりわけエンドポイントに対する最新パッチの適用、特権アカウントのアクセス管理などを徹底することが挙げられている。

　マルウェア攻撃を100％防止するのは不可能だが、FBIはランサムウェア攻撃に対する必須の対策として、少なくとも以下のバックアップ対策を確実に実行することだと述べている。

• 定期的なデータバックアップを取る：基幹データをリカバリーするために、最もシンプルで必須となる対策
• バックアップデータのセキュリティも確保する：元データ／システムと接続されていない環境にバックアップを保存／保管する。例えば、クラウドや、物理的にオフラインである環境などが挙げられる
• 正しくリカバリーできるかをテストする：バックアップを取るだけで安心するのではなく、正しくリカバリーできるかを確かめることも必要。正しく機能することを確かめる方法は、実際の状況でテストすること以外にない、としている

　こうした対策は、バックアップと事業継続計画（BCP）／災害復旧（DR）対策に関連した、強力なリカバリー計画の必要性をあらためて浮き彫りにしたものだとマイクロソフトは述べる。多くの企業は、BCP／DRソリューションを導入するとコスト節約のためにバックアップの利用を減らす傾向にあるが、これには問題があるという。DR環境はメインシステムに何らかの障害が発生してしまったときのリカバリーに有用だが、その仕組みとして、メインシステムの環境を忠実にレプリケート（複製）するものだからだ。メインシステムが侵害され、しばらくの間気が付かなければ、その侵害された環境が残ることになってしまう。これでは意味がない。

　マイクロソフトはこういった課題に対して、「Azure Site Recovery」や「Azure Backup」のようなソリューションを使えば、そうした心配がなくなると述べる。Azure Site Recoveryでは、DRサイトに履歴を保持できる。もし侵害された環境がレプリケートされたとしても、正常なリカバリーポイントとして残っている時点まで復旧できる。一方のAzure Backupでは、経済的かつ安全に、バックアップをクラウド上に保存できる機能を持つ。併せて、リカバリーポイントを最大99年間分保持でき、また、2要素認証や遅延削除といった機能などにより、バックアップへの破壊的操作を防ぐ対策を支援できるという。