データ復旧のプロが語るランサムウェアの脅威、対策は「ポータブルHDDを2台用意して…」

NASもランサムウェアに注意する必要あり、安全性重視なら権限管理の見直しをWindowsベースのNASは注意が必要かも？

RAID機能などを備えるNASはデータストレージとして優秀だが、ランサムウェア対策をしなくても良いというわけでは無い。大手NASメーカーはランサムウェア対策を公開しており、今回画像を使用しているSynologyも防御法をWebサイトで公開している。

――ランサムウェアは基本的にクライアントPCが感染するものだという印象なのですが、NASなどであればリスクはだいぶ変わるのでしょうか。

[浦口氏]先日、NAS上のファイルだけでなく、レプリケーションで別のNASに定期的に書き移していたデータまで、すべて感染していたという例を扱いました。WannaCryの感染例はいろいろ見ていますが、手の施しようがない状態になっていましたね。NASであれば感染しないということはありません。

最近のマルウェアはコンピュータの権限に依存した動きをします。例えば、個人ユーザーであれば管理者権限でログインしていることが多いと思いますが、これを対策するのであれば、権限をパワーユーザーに変更し、共有フォルダにアクセスする度にユーザー名とパスワードを入れなければならない状態にしておきます。不便にはなりますが、クライアントPCがランサムウェアに感染し、NAS上のフォルダに暗号化をかけようとした際、ユーザー名とパスワードを入力しなければファイルにアクセスできない状態になるので、そこで進行を一旦食い止めることができます。簡易のランサムウェア対策としては有効です。

ただし、全然違うポートやプロトコルでやられると対策できないこともあります。また、NASのOSの部分が感染してしまったりすると被害が増す場合もあります。特にWindowsベースのNASは、NAS部分のOS自身が感染してしまうと、そこにアクセスするユーザーがどんなに気を付けてもベースが汚染されているので対策のしようがなくなります。先日依頼を受けたケースはこのタイプでした。

ランサムウェアは感染したPCだけでなく、接続しているNASや外部ストレージにも汚染が広がる

ランサムウェア対策はいたちごっこ状態、シャドウコピーや復元ポイントなどにも対応して汚染確実にデータを守るにはオフライン状態にするのが現状最適

なお、Windows 10 Fall Creators Updatedには、ランサムウェア攻撃に対応する機能が新たに搭載されている。

――パフォーマンスに影響が出るのかもしれませんが、OSのほうで根本的に対処はできないのでしょうか。例えば、ファイルシステムの変更の記録をとって、どの段階でも戻せるとか。

[浦口氏]それも今はランサムウェアに対策されているんですよ。以前であれば、シャドウコピーや復元ポイントなどを作成し、ある一定の部分まで戻すことはできました。今はそれにも対策され、復元ポイントまで暗号化したり、バックアップに相当する部分を消去して戻せなくするタイプのもあります。もう感染という言葉がふさわしくないというか、本当に攻撃や破壊行為に近くなってきているんですよね。

――当然、セキュリティホールをついて感染するものもありますよね。当たり前ですけど、セキュリティアップデートなどは全てあてることも重要ですよね。

[浦口氏]そうですね、セキュリティーホールを無くすことも重要です。ただし、ゼロデイアタックが実際、何日のゼロデイなのかによる部分もあります。例えば、WannaCryの後に登場したPetyaは、EUのほうでよく使われている会計ソフトのデータベースのアップデートエンジンから感染する仕組みで、そのあとSMBを使って一斉にどんどん広がっていくものでした。アップデートの機能そのものを利用されてしまったりすると、アプリケーションもOSも防ぎようがなくなり、根本的な部分で対応できないと感染が広がり続けます。

当たり前といえば当たり前なのですが、ここ2,3年で急増した巧妙な手口のランサムウェアの被害を逃れたのはオフラインのディスクなんです。コンピュータに接続されていても普段は電源が入ってないとか、ネットワークから隔離されている状態のものですね。

身代金では無く、破壊を目的としたもはやランサムウェアと呼べない危険なものも存在する

ポータブルHDDにバックアップを取るのはかなり有効アナログ的なバックアップで対抗するのがランサムウエアには最適解？

手軽なランサムウェア対策としては、ポータブルHDDにバックアップを取るという手段が有効だ。写真のポータブルHDDは「WD My Passport」で、自動バックアップソフトがバンドルされた利便性の高いモデルだ。

外付けHDDにはバックアップ向きな高機能モデルも存在する。詳しくは以前に実施したレビューを参照のこと。

――オフライン状態でデータを残すとすると、容量的にHDDのバックアップはHDDでしかできませんよね。効果的なバックアップ法などはあったりするのでしょうか。

[浦口氏]社員が数名であれば、みんなにポータブルHDDを支給したり、部署ごとで共有するポータブルHDDを準備したりして、大事なデータはそのHDDにコピーし、PCから外しておくということを繰り返すのがいいんじゃないでしょうか。

――では、とりあえず外付けのHDDを1台買って、定期的にバックアップをとり、安全な場所に保管しておくと。

[浦口氏]そうですね。もうそのくらいのレベルを毎日の習慣にして、これはリテラシーではなくて、会社の業務規則っていう形にして、データをコピーしないと退社してはいけないというルールにすればいいと思います。そういう感じで、いくつもオフラインディスクを作っておかないと、いざという時に対応するのは難しいんじゃないですかね。

――バックアップが1つだけだと危険ですよね。PCがランサムウェアに感染した後、知らずにバックアップ用HDDを繋げたらアウトですし。ということは、2個あればより安全になりますよね。

[浦口氏]はい。奇数の日はこちらのHDDを使って、偶数の日はこちらのHDDを使うみたいな感覚で、交互に使用するディスクを作るとより安全だと思いますね。

――HDDも安価になったので、台数を多めに用意し、余ったHDDとかはバックアップ用とかにして、どんどんデータの複製はとっておこうという感じでしょうか。

[浦口氏]そうですね。今のウイルスとかマルウェアは、ユーザーにとって便利な機能を逆手にとっているんですよね。ちょっと不便ですが、便利な部分を攻められているので、逆に古典的な方法が対策として有効な場合も多いです。

使用するソフトウェアが対応できるのなら、拡張子をなくすというのも一つの手だったりします。多くのランサムウェアは感染後、拡張子でファイルを判別しメジャーなデータをターゲットに暗号化を行いますので。

もしあればの話になりますが、指定した拡張子を任意に変更でき、そのOS上では正常に動くようなソフトウェアがあったりすればいいかもしれませんね。例えば「.pdf」という拡張子のファイルを開けばAdobeReader.exeなどが起動しますが、そのPC上では「.pdf」は「.pda」といった任意の拡張子に置き換えられて開けたりすると、ランサムウェアに対し逆にファイルを偽装できるかもしれません。

――NASを使用する際に、ランサムウェアを意識して対策できることはありますか。

[浦口氏]NAS本体やOSに脆弱性があればリスクにさらされることになるので、「アップデートなどは怠らない」というのが重要になります。旧モデルのNASを放置していたりするのはあまりよくありません。

ちなみに、WannaCryに感染したのは、ほとんどがWindows 7ユーザーでした。最新のOSは、リスクに対しても最新の技術で対応するよう改良されています。Windows 10は嫌いだからと、趣味趣向で過去のOS に依存し続けることにより、大きな損失が出てしまうこともあります。更新が終了し、セキュリティ面でのサポートが終了している環境や機器を使い続けるようなことは避けた方がよいですね。

データは物理的に切り離して保管するのが安全日替わりでストレージを入れ替えるなど運用方法の工夫で安全性を確保

ランサムウェアを考慮するなら、複数のドライブにバックアップを取り、一部はオフライン状態で保管する運用が安全だ。

――ソフトウェアでの完全な対応が難しい以上、バックアップの数を増やしたり、運用を工夫するなどアナログ的なアプローチでしか対応できないものなのでしょうか。

[浦口氏]業界ではみんな口を揃えて「ランサムウェアを考えるとやっぱりテープだね」とか言われたりもします(笑)。WannaCryでもテープ全体のデータを暗号化することはできませんし、一応ドライブとしては見えるんですけど、一定時間でオフラインになるので、常時稼働ではない点も安全性という面では優れていたりするんですよね。

実は、弊社もオフラインにするバックアップドライブの運用形態を取り入れていて、サーバーのバックアップ用ドライブのラックを毎週決まった日に入れ替えて、バックアップを行っています。1本は完全に電源が切れた状態で保管といった感じです。それを毎週繰り返しています。面倒なんですけど、こうでもしないと守りきれないところまできてるのかなと。

こんなこともあって、Weekly RAID NASとか、何処か作らないかなと思ってるんです。月曜日しか動かないドライブ、火曜日しか動かないドライブって、一週間ローテーションして動くようなNASがあれば一番最高なんですけどね。ある意味、昔のテープのカートリッジみたいな感じのものが理想です。

――同じNASを何台か買ってスケジュールを組み、定期的に稼働状態を切り替えていけば同じようなことはできそうですよね。

[浦口氏]そうですね。火曜日しか動かないNASとか、水曜日しか動かないNASとか、接続ポートや設定がちょっと大変になりますけど。

――そのうち、スケジュールに合わせ物理的にドライブを完全に切り離す機能を持った製品が出てくるのかもしれないですね。

[浦口氏]感染を確実に防ぐためには、物理的なラインを切るしかないからですね。もう本当に神経質なくらいに。インターネットとイントラネットをしっかり分けて、オフラインの作業はオフラインのままで、ネットに接続する作業は全部タブレットで処理するとか。それくらい用途ごとに区切って運用するのが一番良いのかもしれないですね。

最後になりますが、これまでの経験から申し上げると、ストレージの物理的な障害などからデータを復旧することより、ランサムウェアの被害に遭ったデータ復旧のほうが難しくなってきています。皆さんの大事なデータをウイルスやサイバー攻撃から守るためにも、定期的なバックアップを心がけてください。

　以上が今回のインタビューとなる。ランサムウェアがどういったものなのか、現在どうなっているのか、ある程度理解してもらえたのではないだろうか。

　バックアップに関しては、外付けHDDを利用して確実なバックアップを行う方法と、ランサムウェア対策に重点を置いたバックアップ方法を以前のレビューで紹介しているので、これらの記事を参考にしてもらえれば幸いだ。

・「“手軽な最強バックアップ”の手法を考えてみた、保険にさらなる“保険”をかける手軽な方法」
・「ランサムウェアには「数」で対抗、メインPCを確実に守る“最強バックアップ術”」

[制作協力：ウエスタンデジタル]