見落とされがちなランサムウェア対策

今回ご紹介する対策は特別なソフトウェア費用も発生せず、すぐにできることもありますので世の中の全情シス部門で実装していただきたいと思っています。
多くの情シス部門の方々とお話をしますが、実際に今回ご紹介する対策すべてを既に講じている情シス部門にお目にかかったことはありませんでした。

IPA情報セキュリティ白書2024のランサムウェア攻撃について次のようなデータがあります。

• データA. 2023年度中に警察庁に報告された国内ランサムウェア被害は197 件で前年比14.3%減となったものの前々年比では 34.9% 増と依然として高い水準
• データB. ランサムウェア感染経路は1.VPN機器からの侵入（63%）、2.リモートデスクトップ（18%）、3.メール添付（5%）
• データC. 被害にあったシステムのバックアップ取得状況は94%だったが、その内復元できたのは僅か16.7%のみ

今回ご紹介したい対策については バックアップデータの保護 についてです。
前述のデータCにあるように実際のランサムウェア被害にあったシステムのうちバックアップから復元できたのは僅か16.7%のみです。
これはバックアップデータ自体も暗号化されてしまっていたと考えられます。
実際に2021年の日本の製粉会社大手のランサムウェア被害でもバックアップデータまでもが暗号化されてしまっており、復旧が難しい状況であったようです。

原因が分かれば対策は難しいことではありません。具体的な対策としては次の通りです。

• 対策1. バックアップサーバを本番サーバとは別ドメインもしくはワークグループにする
• 対策2. バックアップサーバに接続できるIPアドレスを制限する
• 対策3. バックアップデータの保存期間を可能な限り長期間にする

ランサムウェア被害ではActive Directoryの管理者権限が取得され、被害が全社に拡大することが多いようです。
このため、対策1でActive Directoryの管理者権限でバックアップサーバにアクセスできないようにするのが有効です。
併せて対策2にあるようにバックアップサーバに接続できる端末を絞ってしまえばさらに効果が高くなります。
さらに徹底する場合にはバックアップ取得後にバックアップデータをネットワークから切り離してしまうという方法もあります。
対策3については現状のバックアップストレージの容量などにも影響するのですぐには実装が難しいかもしれませんが対策1と対策2については特別なソフトウェア費用も発生しませんのですぐにも実装していただければと考えています。

今回はランサムウェア対策としてバックアップデータの保護についてご紹介しましたが、その他良く一般的に言われているように脆弱性対策についても引き続きご注意ください。
特にデータBにもある通り、VPN機器やリモートデスクトップに関する脆弱性対策については特にご注意いただく必要があります。