情シス運用サポートBlog

2023.12.12

ランサムウェアの被害対策とバックアップデータの安全な保管方法を解説

関連サービス
セキュリティ対策

目次

ランサムウェアの手口は年々巧妙化しており、被害を完全に防ぐことが難しくなってきています。
万が一、感染してしまった場合の復旧対策として有効なのがバックアップですが、データの保管場所が適切でなければ、バックアップにまで感染が広がるおそれがあります。

この記事では、ランサムウェアの被害を防ぐ対策について解説します。ランサムウェアの侵入を阻止する予防策から、バックアップデータの安全な保管方法、感染してしまった場合の対処法まで詳しくお伝えします。

既知・未知の脅威も エンドポイント セキュリティで防御!

ランサムウェアとは何か?

ランサムウェアとはマルウェアの一種で、身代金要求型の不正プログラムです。 感染すると、ファイルの暗号化や端末のロックで使用不能な状態にした後、元の状態に戻すことと引き換えに金銭を要求します。

<ランサムウェア攻撃の手口>

  1. ランサムウェア攻撃を仕掛け、端末内に不正プログラムを侵入させる
  2. ファイルを暗号化したり、端末を強制的にロックしたりして使用不能にする
  3. データ復旧や端末の正常化と引き換えに金銭を要求する
  4. 金銭の支払いに応じなければ、機密データや個人情報を公開すると脅迫する

近年のランサムウェア攻撃では、ファイルの暗号化と情報暴露の2つの方法で脅迫をする「二重恐喝型」の手口が増加しています。このケースでは、仮に企業が端末やデータを復旧できたとしても、重要なデータが犯罪者の手に渡ってしまっているため、要求を無視できなくなります。ランサムウェア攻撃による被害を防ぐことは企業にとって急務であり、徹底した対策が必要です。

さらに詳しい記事もご用意しております。
▼ランサムウェアの感染経路は? 感染すると起こり得る被害や対策方法を徹底解説!

ランサムウェア感染による被害

ランサムウェアに感染すると、どのような被害が発生するのでしょうか。ここでは、ランサムウェアによる具体的な被害について解説します。

システムやネットワークが受ける被害

ランサムウェアに感染すると、「ファイルが暗号化されてデータを閲覧できない」「端末がロックされて操作できない」といった被害が発生します。ランサムウェアはネットワークを経由して拡散されるため、ネットワーク上のファイルが次々に使用不能な状態にされてしまうのです。
社内の基幹システムにまでランサムウェア感染が及ぶと、業務が一切行えない状態に陥る可能性もあります。

無料のダウンロード資料をご用意しております。ぜひご活用ください。
【事例】最新のマルウェアに対処した高い防御を提供・振る舞い分析&グレー判定で既知・未知の脅威からもビジネスを防御

企業活動や金銭に関する被害

ランサムウェアの侵入によって社内システムがダウンすれば、業務を停止せざるを得ません。事業継続が不可能となった場合、重大な利益損失が生じるでしょう。復旧に時間を要すれば、その分金銭的な損害が大きくなることが予測されます。
また、業務の停止は、取引先や顧客にまで影響が及ぶ可能性もあるのです。取引先や顧客からの信頼を失う結果となった場合、今後の企業活動や収益に悪影響が出るおそれがあります。

さらに詳しい記事もご用意しております。
▼【国内外のランサムウェア被害事例】種類や対策を徹底解説

情報漏えいによる被害

ランサムウェア被害の中でも特に深刻なのが、企業が保有する重要情報の流出です。機密データや個人情報が流出する事態に発展すれば、社会的信用の失墜とともに、損害賠償責任を負うことにもなります。
最悪の場合、情報漏えいが原因で、取引中止や倒産に追い込まれるリスクもあるでしょう。
▼マルウェア・ランサムウェアとは? 被害の重大性や対策を確認しておこう

ランサムウェアの感染予防策

ランサムウェアによって暗号化されたファイルの復元は難しく、仮に要求された金銭を支払っていたとしても、元の状態に戻るとは限りません。ランサムウェアは非常に悪質であるため、侵入を防ぐ事前対策を徹底することが重要です。

ソフトウェアやアプリケーションを最新の状態に保つ

ランサムウェア対策の基本は、利用している機器のOSやアプリケーションを常に最新の状態に保つことです。OSやアプリケーションにはぜい弱性が潜んでおり、ランサムウェアはそのぜい弱性を突いて侵入してきます。
OSやアプリケーションの提供元は、ぜい弱性を補完するための更新プログラムやパッチファイルを提供しています。こまめにアップデート情報の確認と適用を行い、ぜい弱性を残さないようにしましょう。

セキュリティソフトを導入する

セキュリティソフトの導入は、非常に有効な対策です。不正なWebサイトへのアクセスや、危険なファイルのダウンロードをブロックする機能があるため、ランサムウェア感染のリスクを低減できます。ランサムウェアだけでなく、コンピュータウイルスやスパイウェアなど、その他のマルウェア対策にも有効です。
しかし昨今では、エンドポイントのぜい弱性を狙うなど、検知が難しい攻撃手法も増えています。万が一、侵入を許してしまった場合に備えて、EDR(Endpoint Detection and Response)の導入を検討するのもよいでしょう。EDRとは、PCやスマホなどエンドポイントの操作や動作の監視を行い、異常なアクティビティやサイバー攻撃を検知し対処するソフトウェアです。

EDRについては、以下の記事で詳しく解説しております。
▼EDR製品でどのようなセキュリティを実現できる? 概要や仕組み、具体的な製品を紹介

不審なメールやファイルは開かない

心当たりのない差出人からのメールといった、不審なメールは開封しないようにしましょう。メールに記載されているURLや添付ファイルを開いたことが原因で、ランサムウェアに感染する事例も確認されています。
また、送信元のメールアドレスや差出人を偽装する手口もあるため、企業や取引先からのメールに見えるものであっても注意が必要です。メールの内容に少しでも違和感があれば、URLや添付ファイルは開かず、先に確認をとるようにしましょう。

認証情報の管理を強化する

認証情報の管理を徹底強化することも、ランサムウェアに対する有効な予防策となります。VPN機器のようなネットワーク機器やリモートデスクトップの認証パスワードにぜい弱性があると、ランサムウェアに侵入されるリスクが高まります。
パスワードが初期設定のままや、簡単な文字列である場合は危険です。アルファベットの大文字や小文字、数字、記号などを組み合わせた、文字数が多く、推測されにくいパスワードを設定しましょう。
また、多要素認証の導入や、IPアドレスによるアクセス制限なども、セキュリティ強化に役立ちます。なお、多要素認証とは、SMS認証や生体認証、ワンタイムパスワードなど複数の方法で認証を行うことを指します。

ランサムウェアの復旧対策とは?

ランサムウェア攻撃の手法は巧妙化しており、予防策を講じても被害を完全に防ぐことが困難になってきています。そのため、ランサムウェアの侵入を防ぐ予防策だけでなく、感染した際の事後対策も重要となります。
ランサムウェアに感染後、復旧の鍵を握るのが、データのバックアップです。ランサムウェアに感染すると、ファイルが暗号化されて使用不能になりますが、バックアップがあれば同じファイルを復元可能です。システム全体をバックアップしておけば、OSごと元に戻せるため、復旧までのスピードが早くなります。

ランサムウェア攻撃はいつ起こるかわかりません。不測の事態に備えて、日頃からバックアップをこまめに取得するようにしましょう。また、いざという時に迅速に復旧対応ができるよう、バックアップを用いた復旧手順を確認しておくことも大切です。

さらに詳しい記事もご用意しております。
▼ランサムウェア感染時の復旧方法とは? 初期対応から被害を抑える対策まで徹底解説

バックアップデータを守る方法

ランサムウェアによる被害を最小化するには、バックアップが有効です。しかし、ランサムウェアはバックアップデータも狙って攻撃し、暗号化や破壊を行います。もし、バックアップデータが使用不能となれば、復旧は困難を極めるでしょう。
バックアップデータの保管先は、ランサムウェア感染のリスクがない場所でなければなりません。感染の可能性があるPCやサーバーからアクセスできない場所、つまり、ネットワークでつながっていない環境こそ、バックアップデータの保管先に最適です。

安全性の高いバックアップの保管場所

バックアップデータの安全な保管先として、以下の環境が挙げられます。

  • オフラインバックアップ
  • クラウドバックアップ

ここでいうオフラインバックアップとは、ネットワークに接続していない環境にバックアップデータを保管することを意味します。ネットワークから隔離されているオフライン環境であれば、ランサムウェアは侵入することができません。

一方、クラウドバックアップとは、外部のクラウドサービスのサーバーやストレージにバックアップデータを保管する方法です。ランサムウェア対策を搭載するなど、セキュリティレベルの高いクラウドサービスも存在します。

さらに詳しい記事もご用意しております。
▼ランサムウェア対策はクラウドストレージへのバックアップが有効! おすすめの製品も紹介

感染リスクのあるバックアップの保管場所

以下のような環境にバックアップデータを保管すると、ランサムウェアに感染するリスクがあります。

  • 端末やサーバーの内蔵ドライブ、ネットワークドライブ
  • 接続ストレージ、接続USBメモリ
  • VSS(Volume Shadow Copy Service)スナップショット

ランサムウェアの被害を受けやすい場所にバックアップデータを保管することは、避けるべきです。例えば、ランサムウェアの侵入口になりやすい端末から簡単にアクセスできる場所や、ネットワーク上などはリスクが高まります。
バックアップデータが暗号化されると復旧が困難になるため、バックアップデータの運用先、保管先は非常に重要です。

バックアップ「ルール」とは?

バックアップデータを安全に保護する方法に、「3-2-1ルール」というものがあります。常にマスターを含む3つのデータコピーを保持し、それらを2つの異なるメディアに保管し、そのうち1つはオフサイトに保管するという手法です。

<3-2-1ルール>

  • コピーを含む3つのデータを保持する(例:マスターデータ×1、コピーデータ×2)
  • 2つの異なるメディアに保管する(例:バックアップサーバー、クラウド、テープ媒体など)
  • 1つはオフサイトに保管する(例:クラウド、テープ媒体など)

「3-2-1ルール」では、データの損失や破損に備えて、マスターを含む3つのデータコピーを保持します。データの保管先は、「バックアップサーバー+クラウド」など2つの異なるメディアとし、そのうち1つはオフサイトである必要があります。
なお、オフサイトとは、「遠隔地」や「現地から離れた場所」を意味する言葉で、ここでは、外部のクラウドサービスやネットワークに接続されていないメディアにデータを保管することを指します。

様々なリスクに備えてデータを複数箇所に保管する「3-2-1ルール」は、有効なランサムウェア対策のひとつです。バックアップデータを安全に保持できれば、サイバー攻撃や災害からの迅速な復旧が見込めるでしょう。

「3-2-1ルール」にプラスの対策を

悪質なランサムウェア攻撃が増加していることを受けて、「3-2-1ルール」にさらに対策を追加するなど、より強固なセキュリティ対策を講じる企業が増えています。
最新の対策として注目を集めているのが、「3-2-1ルール」に不変ストレージへのデータ保管をプラスする方法です。更新や削除など書き換えができない不変ストレージにバックアップデータを保管することで、ランサムウェアによる暗号化を防止できます。

ランサムウェア感染時の対処法

万が一、ランサムウェアに感染してしまった場合の対処法について解説します。感染発覚から復旧までの主な流れは以下の通りです。

  1. ネットワークの遮断
  2. ランサムウェアの感染状況の確認
  3. 感染報告と対応策の決定・実施
  4. 感染範囲の特定
  5. 復旧作業

以下では、各段階でやるべきことを紹介します。

1. ネットワークの遮断

ランサムウェアの感染が疑われたら、二次被害を防ぐために、直ちに端末をネットワークから切り離しましょう。接続したままにしておくと、ネットワークを介してランサムウェア感染が拡大してしまいます。
社内ネットワークに複数の端末が接続されているようなケースでは、特に注意が必要です。LANケーブルの取り外しやWi-Fiの無効化を行い、ネットワーク接続を遮断しましょう。

2. ランサムウェアの感染状況の確認

ネットワークを遮断したら、ランサムウェアの感染状況を確認します。社内の感染状況や、感染端末の台数の把握などを進めましょう。被害の規模を明らかにすることで、復旧にかかる時間や必要な作業を見積りやすくなります。

3. 感染報告と対応策の決定・実施

ランサムウェアによる被害状況がある程度まとまったら、組織の責任者や関連部門に報告し、今後の対応を検討します。併せて、各都道府県警察の「サイバー犯罪相談窓口」へ通報し、過去の事例も参考にしながら調査対応を進めましょう。
ランサムウェア感染により、業務が一時停止する場合は、取引先への連絡や顧客対応なども必要になります。

4. 感染範囲の特定

復旧作業に移る前に、ランサムウェアの感染範囲や被害状況を正確に把握する必要があります。具体的には、以下のようなポイントを確認します。

  • ランサムウェア以外のマルウェア感染の有無
  • 暗号化されたデータ、破損データの特定
  • ITインフラ全体の被害状況
  • 情報漏えいの可能性

情報漏えいの可能性についても慎重な調査が必要です。システムやサーバーのアクセスログをもとに、不審なアクセスや不正なデータ持ち出しがないか確認しましょう。

5. 復旧作業

ランサムウェアによる被害の全容が明らかになったら、復旧計画を策定し、具体的な作業に入ります。復旧に必要な作業や時間は、被害状況によって異なります。
感染前に取得したバックアップデータがある場合は、速やかにファイルやシステムを復旧できるでしょう。

ランサムウェア対策は専門家に

ランサムウェアによる攻撃は悪質化しており、感染してしまった場合、自社での解決が難しいケースも多いようです。バックアップデータで復旧できたとしても、「金銭を支払わなければ、重要情報を公開する」と脅されるリスクがあり、そうなると解決は困難を極めます。
ランサムウェアに対抗するには、侵入を防ぐための事前対策と、万が一感染してしまった場合の事後対策の両方が重要になります。対策を強化するために何が必要か、どのようなツールを導入すべきか、セキュリティ対策の専門家に相談するのも有効な方法です。

テクバンでは、ランサムウェア対策に役立つ3つのEDR製品の導入支援を行っています。
次世代アンチウイルス機能を搭載する「VMware Carbon Black Cloud」、高性能AIで未知のマルウェアをも検知する「Sophos Intercept X Advanced」、常に最新の脅威情報を取り込み防御する「CrowdStrike Falcon」、いずれも強固かつ高度なセキュリティ対策です。

テクバンでは、この他にも様々なセキュリティソリューションを提供しています。ぜひ、お気軽にご相談ください。
テクバンの次世代セキュリティ対策

バックアップでランサムウェア対策

この記事では、ランサムウェア被害を防ぐための対策について解説しました。ランサムウェアによる攻撃を完全に防ぐことは難しく、十分な対策を講じる必要があります。侵入を阻止する予防策だけでなく、迅速な復旧に向けての事後対策も重要です。
安全な環境にバックアップデータを保存することは、早期復旧や問題解決につながる有効な対策となります。この機会にバックアップ環境を見直し、ランサムウェアの攻撃に備えましょう。
テクバンへランサムウェア対策を相談する

関連サービス
テクバン情シス支援

EDR導入支援

進化する脅威からお客様の環境を守り抜くテクバンのサービス

詳しくはこちら

関連記事

お気軽に
ご相談ください

関連記事

高い専門性を備えたテクバンが、
お客様に最適なサービスをご提案します

ご相談・ご質問等ございましたら、
お気軽にお問い合わせください。