TOPセキュリティ > バックアップをランサムウエアから守るには(前)

セキュリティ

バックアップをランサムウエアから守るには(前)

2020/11/25

Maria Korolov CSO

 ランサムウエアは、最近では攻撃の件数こそ減っているものの、企業にとっては依然として大きな脅威だ。この11月には、医療機関やヘルスケア企業を狙うランサムウエアについて注意を促すアドバイザリも出た。ランサムウエア対策としてバックアップは効果的だが、最近はランサムウエアの開発者側もその点に着目し、バックアップファイルの発見や削除を行えるように改良を加えつつある。

バックアップもランサムウエアの標的に

Credit: Christiaan Colen (CC BY-SA 2.0)

 米Malwarebytesでマルウエアインテリジェンスの責任者を務めるAdam Kujawa氏によると、最近のランサムウエアは、処理を進める中で発見したバックアップファイルを削除する機能を備えている。例えば、Windowsが自動作成するコピーを削除する手法は広く見られる。「このため、システムの復元をしようとしても、元の状態に戻せない。また、ネットワークの共有ドライブまで手を広げるランサムウエアもある」と同氏は言う。

 バックアップも狙いに含めた攻撃で有名なランサムウエアとしては、例えばSamSamやRyukがある。米司法省は2018年11月、SamSamを使って3000万ドル以上をゆすり取った容疑で、2人のイラン人を起訴した。医療機関や公的機関など、200以上の組織が被害に遭った。起訴状によると、2人は被害をできるだけ大きくするために、営業時間外に攻撃を仕掛けていたほか、攻撃先のコンピューターのバックアップを暗号化していた。

 Ryukを使った攻撃では、米大手新聞Los Angeles Timesや、米クラウド事業者Data Resolutionなど、名の知れた企業が標的となった。イスラエルCheck Point Software Technologiesのブログ記事によると、Ryukにはシャドウコピーやバックアップファイルを削除するスクリプトが含まれていた。バックアップやリカバリのサービスを手がける米Continuumのプロダクトマネジメント担当シニアディレクター、Brian Downey氏は次のように言う。「このマルウエアは、特にバックアップだけを標的にしているわけではないが、データをファイル共有に置くような単純なバックアップソリューションは危険にさらされることになる」

 Windowsにはユーザーがファイルを以前のバージョンに戻せる機能がある。米Juniper Networksで脅威ラボのトップを務めるMounir Hahad氏によると、こうした機能もよく狙い撃ちにされる。ランサムウエアの多くはシャドウコピーのスナップショットを削除すると同氏は言い、ネットワークドライブとして割り当てた先のバックアップも攻撃されることが多いと話す。

↑ページ先頭へ