清水理史の「イニシャルB」
バックアップなんて必要ない? セキュリティ対策としてのバックアップの重要性
(2016/4/25 06:00)
ほとんどのデータはクラウドと同期しているから、それで十分。果たして本当にそうだろうか? 障害対策としての必要性は下がったとしても、セキュリティ対策としてのバックアップの必要性はむしろ上がりつつある。
「ランサムウェア」の脅威
先日、どうにもPCの調子が悪くなり、思い切ってOSをインストールしなおしたのだが、まあ、なんとも、その作業の楽なこと。
インストールは短時間で終わるし、データはOneDriveから同期されるし、メールもログインするだけで元どおりに使える。
以前は、いざというときのために念入りにデータやシステムそのものをバックアップしていたものだが、最近ではすっかりバックアップなんてしなくなってしまった。
しかし、最近になって、やっぱりバックアップは必要なんじゃないか? とあらためて思うようになってきた。
実際に被害にあったという周りの友人の声や、取材先のセキュリティベンダーやNASベンダーから聞こえてくる「ランサムウェア(もしくはクリプトウェア)」の脅威を耳にする機会が増えてきたからだ。
ランサムウェアの被害が増えている、という実態は、IPAが発表した年初のレポートや各セキュリティベンダーのウェブページなどでも触れられている通り、最近ではアイ・オー・データ機器のウェブページでもランサムウェアの相談が増えていることがお知らせとして掲載された。
ランサムウェアは、PCに侵入後、データを勝手に暗号化し、その身代金として金銭を要求マルウェアだ。CryptoLockerやCryptoWall、TeslaCryptなどが有名なものがあるが、その亜種も多く、日々進化を続けている。
「ウイルス対策ならすでにやってるし、十分に気を付けてる」という人も少なくないかもしれないが、最近の攻撃は巧妙なメールが使われたり、一般的なウェブサイトの改ざんによって送り込まれたり(水飲み場)、広告システムが悪用されたりと、その経路が多様化しているうえ、ランサムウェア自体も日々進化しており、発見が難しいとされている。
先日、とあるセキュリティベンダーの人から、「彼らもビジネスでやっているから」という言葉を耳にしたが、ランサムウェアを収入源と考えている攻撃者からすれば、金銭を得るための努力は惜しまないというも当然だろう。
で、今まで、主に企業に向いていたその危機が、いよいよ一般ユーザーにも広がりを見せてきた、というのが今回のポイントだ。
冒頭でも触れたように、クラウドとの同期など、さまざまな場所とつながった環境では、ひとたびランサムウェアに感染すると、PC上のデータのみならず、クラウド上、NAS上、あらゆる場所のデータが、勝手に、自動的に暗号化され、その被害が広がっていくことになる。
もちろん、その脅威を避けるには、感染を防ぐことがもっとも大切だが、万が一、感染した場合、あなたは大切なデータを取り戻せる準備があるだろうか? 今一度、よく考えてみてほしい。
NASもターゲットになるが復旧手段も複数使える
万が一、暗号化されても、以前のバージョンから戻せるかも?
ひと昔前なら、その方法も可能だったかもしれないが、ランサムウェアによっては感染後に、PCに保存されているVSS(ボリュームシャドウコピーサービス)のデータを破壊するものもあり、必ずしも助かるとは限らない。
そういえば、OneDriveにもファイル履歴があったはず! 確かに、それも可能だがOneDrive上で保存される履歴はOffice関連のファイルのみ、しかも復元する場合はファイルごとに指定する必要があるので、何百、何千ものファイルが暗号化されたファイルで同期されれば、その復旧に気が遠くなるような時間がかかることになる。
NASの場合もほぼ同じだが、もう少し希望は持てるかもしれない。
QNAPやSynologyの同期ソリューションを使っている場合は、ランサムウェアで暗号化されたファイルが、NAS上に次々と同期されてしまう。ランサムウェアによっては、PC上のデータだけでなく、そのPCからアクセス可能なすべてのストレージ、つまりUSB HDDやネットワーク上の共有フォルダなど、あらゆるデータを暗号化してしまうものも存在するので、共有フォルダのデータもすべて暗号化されてしまう可能性がある。
そういった意味ではNASのほうが被害は大きい。
しかし、最新のNASを使っているなら、スナップショットで助かる可能性がある。SynologyのDSM 6.0、QNAPのQTS 4.2などでは、ボリュームのスナップショットを定期的に取得することが可能になっている。運よく、この機能が有効にしてあれば、NAS上のスナップショットから、クライアントの同期データやNASの共有フォルダのデータを復元できる可能性がある。
SynoLockerなどNASそのものに感染するランサムウェアもあるので、油断は禁物だが、現状、ある程度の制約があるクラウドサービスの復元機能に比べると、自由度が高い分だけNASのほうがデータを救える可能性は高いと言えそうだ。
ポイントは非同期とアクセスできない場所を作ること
このように、なかなか深刻な被害をもたらすランサムウェアだが、大切なのは、万が一に備えて二重三重の復旧対策を整えておくことだ。
そこで重要になってくるのがバックアップということになる。
バックアップの場合、同期ソリューションと異なり、万が一、ランサムウェアによってPC上のデータが暗号化されても、それが即座にバックアップ先にも反映されるわけではない。1日に1回など、定期的にバックアップが実行されるので、感染後も次のバックアップが走る前にPCを隔離できれば、バックアップデータは保護できることになる。
ただし、前述したように、最近のランサムウェアはネットワーク共有フォルダを検出し、そのデータも根こそぎ暗号化する場合がある。
このため、バックアップ先にNASなどのストレージを使う場合は、PCから「見えない」共有を指定しておくという方法がある。
たとえば、QNAPのNASであれば共有フォルダの作成時に、「ネットワークドライブの非表示」をチェックしておけば、PCのネットワークの一覧に共有フォルダが表示されなくなる。
もちろん、そのフォルダにPCからアクセスし履歴を残したり、ショートカットを作成したり、ネットワークドライブとして割り当てたり、資格情報で共有名とアカウントを登録していたりすれば、ランサムウェアに見つかってしまうだろう。
しかし、たとえばバックアップソフトのバックアップ先としてだけ登録し、普段は一切アクセスしないようにすれば、バックアップソフトの設定データを探られない限り、そのバックアップ先はランサムウェアの手から逃れられる可能性がある。少なくとも、通常の共有フォルダよりも被害に遭う可能性は低くできる。
また、PCから直接アクセスできない場所にデータを保存することも有効だ。たとえば、同期でもバックアップでもいいが、NASにクライアントのデータを保存するようにしたうえで、さらにNASにUSB HDDを接続し、そこにNASのバックアップ機能を使ってデータを保管しておく。
こうすれば、PCがランサムウェアに感染したとしても、PCから直接見えないNASに接続されたUSB HDDまでは暗号化の手が及ばない可能性がある。実際には面倒すぎて運用が難しいが、バックアップの時だけUSB HDDを接続し、普段は外しておくようにすれば、対策としてはほぼ完ぺきだ。
マルウェアとの闘いがいたちごっこである以上、小手先の工夫など、いつ無効化されてもおかしくないが、少なくとも、今日、明日、感染してしまった場合にそなえて、少しでも可能性のある場所にデータを待避させておくことはとても重要だ。
前述したNASのスナップショットも、バックアップも、標準では無効の機能で、自ら設定しておかないといざというときに利用できない。今の段階で準備しておくことを強くおすすめする。
できることはやっておいたほうがいい
というわけで、筆者の環境では、NASへの同期ソフトに加え、バックアップソフト(QNAPのNetBak Replicator)を新たに導入したうえ、QNAPのスナップショットも有効化し、さらにUSB HDDを接続して大切なデータだけは定期的にバックアップするように設定しておいた。
個人ユーザーの場合、そんなにまでしてデータを守らなくても大丈夫と思うかもしれないが、何年にもわたって撮りためてきた家族の写真がすべてアクセス不能になったとしたら……、来年の確定申告のときに必要なデータがすべてアクセス不能になったら……、と考えると、やはりランサムウェアの脅威は無視できない。
そのうち流行も収まるかもしれないが、その前に感染していたい思いをせずに済むよう、少しでもできる対策はしておくことをおすすめする。