イリノイ大がランサムウェア対策のデータ復元支援ツールを開発、SSDの性質を利用：SSD内のデータを「タイムトラベル」

イリノイ大学の研究チームは、ランサムウェアに感染しても、ファイルを復元できるツールを開発した。PCに搭載された一般的なSSDの動作を制御して、作成後3日目までのファイルを復元できるようにした。

[＠IT]

　イリノイ大学Coordinated Science Laboratory（CSL）の助教授を務めるジアン・ファン氏と同氏の下で学ぶチャンス・コーツ氏、ジャオハオ・ワン氏は、ランサムウェアに感染しても、身代金を払わずにファイルを復元するためのツールを開発し、その成果を「Project Almanac: A Time-Traveling Solid State Drive」（Project Almanac：SSDタイムトラベル）という論文にまとめた。

　この論文は2019年3月に、システムカンファレンスの一つである「EuroSys 2019」で発表され、国際的な関心を呼んだという。3人の研究者が開発したツールを使うとランサムウェア攻撃を受けた場合もファイルの以前のバージョンを復活できる。この新ツールは、ファイルをうっかり削除してしまった場合にも役立つ。

　このツールは一般のPCに搭載されているSSDの性質をうまく利用している。SSD上のファイルを変更した場合、SSDのコントローラーはファイルの古いバージョンを即座に削除して書き込むのではなく、更新されたファイルを新たな位置に保存する。この古いバージョンが、ランサムウェア攻撃に対処する鍵になる。

SSDとHDDの書き込み方式の違い（出典：イリノイ大学）

　イリノイ大学の電気コンピュータ工学部の大学院生であるコーツ氏は、つぎのように説明する。

　「SSDに新しいデータを書き込む場合、それは空きブロックに保存される。空きブロックは、データを消去済みのブロックだ。SSDは通常、（空きブロックが不足してきたときに）ファイルの古いバージョンを削除して、空きブロックを作る。われわれのツールは、古いバージョンを意図的に長く保持しておく。この目的のために、新しいバージョンが書き込まれる前に、古いバージョンを移動しておかなくてはならない場合もある」

古い「ファイル」を保存しておくと性能が低下するのでは？

　コーツ氏によると、古いバージョンの保持期間とSSDのパフォーマンスは、トレードオフの関係にあるという。保持期間をあまりにも長く設定すると、SSD内に古いバージョンが増えるせいで、SSDの応答に時間がかかってしまう。一方、保持期間があまりにも短いと、ランサムウェア攻撃を受けた際に、全てのファイルを復活できない恐れがある。

　研究チームはこのトレードオフを管理するために、古いバージョンの保持期間を設定するパラメーターの監視と調整を動的に行う機能を新ツールに組み込んだ。ツールはパラメーターを動的に変更するが、データを少なくとも3日間、保持しておく。ユーザーは3日の間に、データを他のシステムにバックアップすることもできる。

　この設定では標準的な動作をするSSDと比較して、平均I/O応答時間の低下は10％未満にとどまったという。

標準的なSSDとツールを組み込んだ「TimeSSD」の性能差（出典：イリノイ大学）

　ファン氏によると、研究チームは今後、ユーザーデータを別のストレージデバイスに保持することで、保持期間を延ばすとともに、パフォーマンスオーバーヘッドを抑えるという手法の可能性の検討に入る。また、新ツールの機能をシステムデバッグやデジタルフォレンジクスなど、幅広い用途に応用することも検討する。