[2021年版] 年末年始までにできる、バックアップデータのランサムウェア対策
早いもので2021年ももうすぐ終わりです。残念なことに、今年はランサムウェアが大きな話題になりました。大手製粉会社の決算発表が延期になったり、公立病院で長期間に渡り診療ができなくなったりというニュースを耳にされた方も多いと思います。
これらの被害事例ではランサムウェアによって、本番データのみならずバックアップデータまで暗号化されてしまった、という共通点があります。同じような被害を出さないために、「複数世代のバックアップデータの保持」、「安全な場所へのバックアップ」、「バックアップデータのオフライン/オフサイト保管」が必要です。しかしながら、これらの対応ができている企業/組織は多くはありません。(※1)
また、サイバー攻撃はシステム管理者が不在になる長期休暇に増えると言われています。直近では年末年始休暇がありますが、予算を組んで本格的に対応するのでは間に合わないという方も多いでしょう。
そこで、今日は「できるだけお金をかけず」、「時間もかけず」、「今のバックアップ環境を活かして」バックアップデータを守るランサムウェア対策例を紹介します。決して完全な方法ではありませんが、少しでも被害を減らす役に立てればと思います。
■ ケース1:外付け HDD にバックアップしている場合
Arcserve UDP のようなイメージバックアップソフトを使っている方では、下の図のようにサーバや PC に外付け HDD を直結して、そこにバックアップしている方も多いと思います。この構成では、バックアップ対象サーバ/PC がランサムウェアに感染したりアカウントを奪われたりすると、容易にバックアップデータが破壊されてしまいます。
対策:複数の外付け HDD を交換してバックアップ
対策としてバックアップ先の HDD をバックアップ中以外はサーバ/PC から切り離す「オフライン保管」が有効です。HDD が物理的に切り離されていれば、たとえ攻撃者がサーバや PC にアクセスできたとしても、バックアップデータに手出しはできません。
ただ、これを真面目にやろうとすると、バックアップジョブが始まるタイミングと終わるタイミングでケーブルを抜き差ししなければいけないのでとても大変です(※2)。
そこで、上図の例のようにバックアップ先の HDD を複数用意し週次(※3)で交換していきます。これであれば、バックアップスケジュールを気にせず、都合の良い時間帯に HDD の交換作業を行えます。もし、サーバに接続されたままの HDD が暗号化されてしまったとしても、先週以前のバックアップデータが保存された HDD からデータを復元できます。
外付け HDD の追加購入が必要になりますが、この程度の投資であれば比較的簡単に実現できるのではないでしょうか。もちろん予算に余裕があれば、RDX や LTO(テープ)を使うのも有効です。
■ ケース2:複数のサーバ/PC を NAS にバックアップしている場合
NAS にバックアップしているのであれば、NAS 自体のセキュリティ機能を使って「安全な場所」にします(※4)。これを怠り、誰でもどのサーバ/PCからもアクセスできる状態になっていると、乗っ取られたアカウントやランサムウェアに感染した端末からバックアップデータを破壊される恐れがあります。今使っている NAS が危険な状態になっていないか確認していきましょう。
対策1:アクセスできるアカウント(ユーザ)を絞る
NAS によって共有フォルダのアクセス権の設定方法は異なりますが、もしバックアップ先の共有フォルダに誰でも(Everyone)書き込めるようになっていたらその設定を無効にして、バックアップ用のアカウントだけが書き込めるようにしてください。
また、最初から用意されているデフォルト管理者アカウントが共有フォルダに書き込み権限を持っていないかも要注意です。デフォルト管理者アカウントは攻撃者に簡単に特定されますし、パスワードがデフォルトのままだと非常に危険です。
対策2:パスワードの強度を確認する
さらに総当たり攻撃(ブルートフォース攻撃)に備えて、アカウントのパスワードは十分な長さを持つ複雑なものにしておきましょう。NAS によっては総当たり攻撃対策の機能を持っているものもあるので、それを有効にしておくのも良いでしょう。
対策3:最新のパッチを適用する
利用中の NAS に脆弱性が見つかっている場合もあります。NAS メーカーの Web サイトを調べ、脆弱性がある場合はパッチを適用しましょう。攻撃者の侵入やランサムウェアの感染拡大を防ぐ意味でも、NAS に限らず PC や サーバ、ネットワーク機器に最新のパッチを適用しておくことは重要です。
対策4:バックアップ専用 LAN を使う
バックアップ対象サーバの NIC やスイッチの余裕があれば、バックアップ専用 LAN を用意するのも手です。NAS を業務 LAN から切り離し、物理的にアクセスできる端末を減らすことで、バックアップデータが破壊されるリスクを減らせます。
■ まとめ
ここまで、特に Arcserve UDP の定番構成をイメージしながら、バックアップデータのランサムウェア対策例を2つ考えてみました。初めにお話しした通り完全ではありませんが、取り急ぎの方法として参考になれば幸いです。
また、外付け HDD や NAS 以外の装置をバックアップ先に使っているという方、より強度の高いランサムウェア対策をしたいという方もいらっしゃるかと思います。その場合は Arcserve Japan までぜひご相談ください。
-------------
【Arcserve ジャパン ダイレクト】
Tel:0120-410-116(営業時間:平日 9:00~17:30)
E-mail:JapanDirect@arcserve.com
-------------
以上、ホテがお伝えしました。
<関連記事>
※1 Arcserve Japan で実施したアンケート調査では以下の結果が出ており、バックアップデータ自体の保護には十分に手が回っていないことがうかがえます。
Q. バックアップ運用によるランサムウェア対策として実施しているものはありますか?
(複数選択可)・複数世代の保持:75.0%
・一般ユーザがアクセスできない安全な場所にバックアップ:37.5%
・オフライン/オフサイト保管:26.8%n=56、 Arcserve Japan 調べ(2021年10-11月)
※2 特にサーバだとバックアップは夜間に行われることが多く、例えば「日次で夜10時にバックアップ」というスケジュールだと、毎晩誰かが待機しなければいけなくなります……。
※3 ランサムウェア対策のポイントの1つである「複数世代のバックアップデータの保持」にも対応しており、28 日分(7日×4週)の世代を保持できます。週次ではなく日次で交換しても良いのですが、その分手間がかかるのと、Arcserve UDP の場合「検証バックアップ」が必要になりバックアップ時間がかかる事から、この例では週次にしています。
※4 外付け HDD と異なり NAS 自体を「オフライン」にすることは難しそうなので、ここでは NAS の安全性を上げていく方法を考えています。追加費用は掛かりますが、NAS に保存されたバックアップ データを RDX や LTO のようなオフライン保存可能なメディアにコピーする、というアプローチもあります。
« Arcserve Backup のコマンドラインを使ってみよう | トップページ | Apache Log4j の脆弱性 (CVE-2021-44228 等) における Arcserve 製品への影響について »
「その他」カテゴリの記事
- 情報システム担当の方は引継ぎ前にメール アドレスをご確認ください!!(2023.03.03)
- 2022年の Arcserve ブログ記事トップ5をご紹介します!!(2023.01.06)
- Windows Server 2012/2012 R2のサポート終了がもうすぐ。準備は済んでいますか?(2022.10.28)
- バックアップのトレンドをチェック!2021年に最も読まれた Arcserve ブログ記事は……!?(2022.01.07)
- Apache Log4j の脆弱性 (CVE-2021-44228 等) における Arcserve 製品への影響について(2021.12.17)
« Arcserve Backup のコマンドラインを使ってみよう | トップページ | Apache Log4j の脆弱性 (CVE-2021-44228 等) における Arcserve 製品への影響について »
コメント