ランサムウェア攻撃からシステムを復旧するときに読む記事(Arcserve UDP編)
ランサムウェア攻撃は、IT担当者にとって最も恐ろしい脅威の一つです。当ブログでもランサムウェア対策としてバックアップ データを保護する方法を繰り返し発信していますが、今回は視点を変えて、「ランサムウェア被害に遭った時にどうするか」についてのお話です。
この点については、JPCERT(※1)や IPA(※2)の Web サイトに基本的な対処策がとてもよくまとまっているので、ぜひ一度は目を通していただきたいところです。しかし、一方でこれらのサイトよりもさらに具体的な復旧方法について知りたいという声もあります。そこで、今回はランサムウェア攻撃を受けた際にやらなければいけない事のうち「復旧」に焦点を当て詳しく解説します。
なお、タイトルに「Arcserve UDP編」とありますが、他のバックアップ ソフトを使用している方にも役に立つものと考えています。さらに、いままさに復旧を試みている方だけでなく、これから対策を強化しようと考えている方もぜひお読みください。
-------------------
[目次]
# 0. 初動対応(バックアップ データの隔離と安全確認)
# 1. 二次バックアップからの復旧の検討
# 2. ランサムウェア感染したシステムをバックアップしていたらどうなる?
# 3. 感染/暗号化の確認はどう行うのか?
# 4. どこに復旧するのか?
# 5. 最後に
-------------------
# 0. 初動対応(バックアップ データの隔離と安全確認)
「復旧」に焦点を当てると言いながらではありますが、まず被害を受けた際の「初動対応」について軽く触れさせてください。というのも、侵入型ランサムウェア攻撃への初動対応の中にはネットワークの遮断があります。攻撃者はバックアップ データに対しても暗号化や破壊を試みるため、ここでバックアップ データを隔離しておくことは今後の復旧のために重要です。
Arcserve UDP でバックアップしている場合は、一次バックアップ先に外付け HDD や NAS、復旧ポイントサーバ(以下、「RPS」と省略)を使っていることでしょう。外付け HDD を使っている場合は物理的にケーブルを抜き、NAS や RPS を使っている場合はこれらをネットワークから切り離します。
また、バックアップ データが破壊されていないかどうかも確認しておきましょう。RPS には、その内部にバックアップ データの保存先である「データストア」があります。もしデータストア内のファイルが破壊されていたり暗号化されていた場合は、データストアが使えない状態になっているはずです。データストアの状態が「実行中」で復旧ポイントが参照できる状態であれば、ひとまずリストア操作は可能だと見てよいでしょう。
データストアの状態を確認するには、Arcserve UDP コンソールの [リソース] タブを開きます。その上で、画面左側の [デスティネーション] - [復旧ポイント サーバ] を開くと、その内部のデータストアが確認できます。下の例では「実行中」になっています。
なお、データストア名をクリックするとその中の復旧ポイント(Arcserve UDP用語。バックアップ データの世代のこと)も確認できます。
# 1. 二次バックアップからの復旧の検討
もし一次バックアップ データが暗号化されていたり削除されていた場合は、二次バックアップ データからの復旧を行います。Arcserve UDP ではランサムウェア対策として、様々な二次バックアップ方法があります。Arcserve OneXafe / テープなどへのオフライン保管 / オブジェクト ロックが有効なストレージ / Arcserve UDP Cloud Hybrid などです。
それぞれによってリストア方法が異なるため、以下の参考記事や資料のリンクを参照してください。
参考:Arcserve UDP 10.0 新機能(7):読み取り専用データストアのインポート
参考:ランサムウェア対策って具体的に何をすればいいの? 「Arcserve OneXafe(ワンセーフ) + Arcserve UDPなら出来ること」を解説。
# 2. ランサムウェア感染したシステムをバックアップしていたらどうなる?
復旧に際して気になる点に、「このバックアップ データはランサムウェアを含んでいるのではないか?」というものがあります。ランサムウェアに感染したシステムをバックアップしていた場合、そのデータからリストアしてはまずい、ということです。
このとき、システムに「感染(バックアップ対象システムにランサムウェアが潜んでいる状態)」 と 「暗号化(データが暗号化されて読めなくなっている状態)」を分けて考える必要があります。
状況としては以下 3 パターンが考えられます。
A) 感染して暗号化された状態のシステムをバックアップ
データが暗号化されてしまっているので、このバックアップ データからシステムを復旧してもデータは暗号化されたままなので意味はありません。過去のバックアップ世代をチェックします。
B) 感染しているけれども、データは暗号化されていない状態のシステムのバックアップ
攻撃に使われたのが潜伏型のランサムウェアであれば、ランサムウェアがシステムに感染しているものの、まだデータが暗号化されていない期間があります。この期間のバックアップ データが残っていれば、一部のファイルやデータ ボリュームだけは復旧できる可能性があります。
後述の C) と同様の方法で過去のバックアップ データから感染前の状態のシステムを復旧した上で、データだけを別にリストアします。
データのリストア方法として、Arcserve UDP ではファイル単位のリストアが可能です。また、Arcserve UDP Windows であれば、ブロック リストア機能を使い、データ ボリュームを高速にリストアすることも可能です。
参考:Arcserve UDP 7.0 Update 1 新機能 (2):復旧時間を短縮!Windows ボリュームの「ブロック リストア」
なお、この方法は攻撃に使われたランサムウェアが特定できている場合にのみ行ってください。潜伏型のランサムウェアは自律的に感染を拡大するワーム機能を持っている場合もあり、不用意にファイルをリストアすると状況が悪化する恐れもあります。
C) 感染も暗号化もしていないシステムのバックアップ
この状態であれば、システムを丸ごと復旧するのが簡単です。汎用的な方法は「ベアメタル復旧(BMR)」。バックアップ対象が vSphere / Hyper-V / AHV の仮想マシンであれば、エージェントレス バックアップからの 「VM の復旧」 が使えます。Amazon EC2 や Microsoft Azure、 Google Cloud への復旧は アドホック仮想スタンバイも便利です。
参考:Arcserve UDP Agent for Windows 環境構築ガイド - インストール~ベアメタル復旧編
参考:Arcserve UDP Agent for Linux 環境構築ガイド - インストール~ベアメタル復旧編
参考:Arcserve UDP 機能紹介 ~ (7) 仮想マシンのエージェントレス バックアップ ~
参考:Arcserve UDP 10.0 新機能(5):アドホック仮想スタンバイを使った IaaS の保護
※ 最新バージョンの環境構築ガイドは Arcserve カタログセンター をご確認ください。
# 3. 感染/暗号化の確認はどう行うのか?
先ほど、感染/暗号化状況別に 3 パターンがあると説明しましたが、感染/暗号化した状態のシステムをバックアップしているのかはどのように確認すれば良いでしょうか?確実な方法は1つずつリストアしていくことですが、それでは膨大な時間がかかってしまいます。
ここで便利なのが Arcserve UDP のインスタント VM です。インスタント VM はバックアップ データを直接参照して、仮想マシンとして起動します。リストアが行われないので、システムの容量によらず、数分で VM を起動できるのが良い点です。インスタント VM を隔離したネットワークで起動し、その中のデータが暗号化されていないかどうかを目視確認します。また、ここまでの調査でランサムウェアの種別が特定できているのであれば、それも目視確認できます。アンチ ウイルス ソフトウェアの定義ファイルを最新にしたうえで、スキャンしてみるのもよいでしょう。
ただし、インスタント VM を利用するには vSphere / Hyper-V などの仮想環境が必要です。これらを用意できない場合でも、Windows 環境であれば「復旧ポイント ビュー」という機能を使ってバックアップ データの中身を参照することができます。また、バックアップ データをマウントして SQL Server データベースの中身を参照することもできます。これらもインスタント VM 同様、隔離したネットワーク上で行ってください。以下、それぞれの解説記事です。
参考:無料の Arcserve UDP で PC をバックアップする ~ (4) ファイルの復旧
参考:Arcserve UDP 10.0 新機能(3)MS SQL Server データベースのバックアップ データのマウント
また、Arcserve UDP 10.0 から搭載されたアシュアード セキュリティ スキャンを使えば、リストア前にバックアップ データの中身が感染していないかどうかをスキャンすることも可能です。
# 4. どこに復旧するのか?
侵入型ランサムウェア攻撃では、侵入経路の特定が必要です。これができないままでは攻撃が続いてしまう恐れがあり、ネットワークを復旧できません。また、デジタル フォレンジック調査(※3)のため、元のシステムに手を加えてはいけないこともあります。このようにランサムウェア攻撃を受けた環境では元の場所にシステム復旧が行えないことが、復旧が長期化する理由の一つとなります。
そこで、復旧までの時間を短縮するために、元のシステムとは別の環境にリストアしましょう。クラウドを活用したり、あらかじめオンプレミス環境に予備の仮想基盤を用意しておくのも良いでしょう。予備の仮想基盤は平常時の復旧訓練の環境としても活用できますし、前述のインスタント VM にも使えます。
# 5. 最後に
ここまで、Arcserve UDP を使ったランサムウェア攻撃からの復旧方法についてご説明しました。組織ごとにシステムの状況は異なるため、さらに細かい手順の確認も必要かもしれません。そこでお勧めしたいのが、「サイバー攻撃を想定した BCP(事業継続計画)の策定」と「復旧訓練」です。
前者については、2025年3月に公開された警察庁の資料(※4)でも有効性が示唆されています。また、実際にリストアしようとすると思い通りにいかない事もあり、自組織の弱点を特定しておくためにも復旧訓練を行うことをお勧めします。
もう一つ、ランサムウェア攻撃に備えるうえで意識しておきたい点は「サイバー攻撃は夜間や土日に来る」ということです。実際に攻撃者は成果を最大化させるために、人員が手薄な業務時間外を狙って攻撃を仕掛けてきます。そうなるとベンダーやメーカーに相談できず、自組織の限られたリソースで対応しなければなりません。そんな場面でも被害を最小限に抑え、速やかにシステムを復旧させるため、事前の計画と訓練が重要なのです。
以上、ホテがお伝えしました。この記事がランサムウェア被害からの復旧や、攻撃への準備のお役に立てば幸いです。
<関連記事>
※1 参考:侵入型ランサムウェア攻撃を受けたら読むFAQ
※2 参考:中小企業のためのセキュリティインシデント対応の手引き
※3 デジタル フォレンジックとは「情報セキュリティ インシデントが発生時に、法的な証拠となるデータを収集し、保管し、調査分析すること」を指します。ランサムウェア攻撃は犯罪の一種なので、証拠保全も必要です。
※4 警察庁:令和6年におけるサイバー空間をめぐる脅威の情勢等について P.8 より以下引用
"さらに、調査・復旧に「1,000 万円以上」かつ「1か月以上」を要した組織のうち、サイバー攻撃を想定状況に含む BCP を策定済みである組織は 11.8%にとどまった一方、1週間未満で復旧した組織の 23.1%が同種の BCP を策定していた。"
« Arcserve UDP:ドライブ文字変更で、PC のバックアップができなかった話 | トップページ | OneXafe 4.2.0 が公開されます。 »
「Arcserve UDP」カテゴリの記事
- Arcserve UDP 10.1 をリリースしました(概要編)(2025.05.23)
- クラウド VM(IaaS)のバックアップに Arcserve UDP が使われる理由(2025.05.02)
- Arcserve UDP:ドライブ文字変更で、PC のバックアップができなかった話(2025.04.11)
- Arcserve UDP Agent for Windowsで実現するサイバーレジリエンスの強化!(2025.04.04)
- ランサムウェア攻撃からシステムを復旧するときに読む記事(Arcserve UDP編)(2025.04.18)
「ランサムウェア対策」カテゴリの記事
- Arcserve UDP:ドライブ文字変更で、PC のバックアップができなかった話(2025.04.11)
- Arcserve UDP Agent for Windowsで実現するサイバーレジリエンスの強化!(2025.04.04)
- ランサムウェア攻撃からシステムを復旧するときに読む記事(Arcserve UDP編)(2025.04.18)
- データ レジリエンスって何?あなたの会社を守るための考え方(2025.03.28)
- Arcserve UDP:アシュアード セキュリティ スキャンのよくある質問と回答(2025.01.31)
« Arcserve UDP:ドライブ文字変更で、PC のバックアップができなかった話 | トップページ | OneXafe 4.2.0 が公開されます。 »
コメント