ランサムウェアの除去

ランサムウェアの除去とは?

ランサムウェアの除去とは、身代金を支払って取り戻すまで、システムのデータを暗号化して盗み出すために記述された悪意のあるコードを削除することです。

事業主はランサムウェアを除去するために身代金をすぐに支払ってしまうことが多いため、日常業務に必要となる非常に機密性の高いデータを保有する組織への攻撃に使用するマルウェアとして、サイバー犯罪者にランサムウェアはますます好まれています。

組織はランサムウェア攻撃の発生を待つのではなく、バックアップ環境を強化することで、前もってランサムウェアの除去を効果的に計画することができます。イミュータブルバックアップ (変更不可のバックアップ) は、ランサムウェア攻撃を受けた後で復旧に使用できるデータのクリーンコピーを確保することで、ランサムウェアの除去をスピードアップすることに繋がります。ランサムウェアをどのように除去するかは、サイバーレジリエンス戦略を強化しようとしている組織が議論すべき重要事項です。

ランサムウェアは除去できるのか?

一度ランサムウェアが企業の環境に侵入すると、その企業がランサムウェア対策を行っていない場合はその除去が困難になる可能性があります。TechTarget社の「Ransomware Preparedness (ランサムウェア対策)」という調査によると、ランサムウェアの除去を期待して身代金を支払っても、支払い後にすべてのデータが取り戻せる保証はありません。注目すべきは、身代金の支払い後にすべてのデータを取り戻したと回答した企業がわずか14%だったということです。

確実なランサムウェアの除去をサポートするプロアクティブなサンラムウェア対策には、以下のことが含まれます:

• 予防: 厳格なアクセス制御、暗号化、認証といったゼロトラストの原則を採用したソフトウェアによる保護手法や、迅速なランサムウェアの除去と身代金の支払い回避に役立つイミュータブルバックアップスナップショット
• 検知: 異常検出などの自動化テクノロジーで、早期段階でランサムウェア攻撃を特定して報告し、ランサムウェアが蔓延して多くの社内システムに感染する時間を与えないことでマルウェアの除去を容易に
• 復旧: 脅威軽減機能で、VM (仮想マシン)、データベース、NASデバイスに格納された情報のクリーンなランサムウェアからの復旧に使用するデータを迅速にスキャンし、大規模かつ迅速なランサムウェアの除去をサポート

ランサムウェアを除去するには?

一般的に考えられていることとは異なり、ランサムウェア攻撃によって侵害されてもすべてを失う必要はありません。企業がランサムウェアの脅威に備えていれば、クリーンでイミュータブルなバックアップデータを使用するだけで本番環境をリストアすることができるからです。ランサムウェアに対抗する準備ができていなかった場合でも、わずかに選択肢はあります。身代金を支払うか、もしくは以下のようなランサムウェアの除去に関わる数段階の手順を実行することができます:

• 内部ネットワークおよびインターネットなどの外部ネットワークからのシステムの隔離
• 攻撃の深刻度を調査しフォレンジックを行うマルウェア対策ツールでシステムをスキャン
• 復号化ツールの入手
• バックアップからのリストア
• ランサムウェアからの復旧機能を含むバックアップと復旧システムを増強

大規模なランサムウェアからの復旧は、今日のランサムウェア除去に関する議論において重要な要素となっているのは、サイバー犯罪者が独創的であるためです。現在では彼らがランサムウェアを使って単一のシステムを狙い暗号化することはほとんどなく、二重強迫型ランサムウェアスキームで情報を盗むなどして攻撃範囲を最大化しようとしています。

そのため、ランサムウェア攻撃者が金銭を得るために暗号化し盗み出したあらゆるデータへのアクセスを迅速かつ柔軟に復旧するためのプロセスやツールを持つことが重要です。サイバーサイバーレジリエントな組織には、貴重なデータを守り、厳しいビジネスSLA (サービスレベルアグリーメント) を満たすことができる効果的なランサムウェアからの復旧計画があります。

暗号化ランサムウェアを除去するには?

暗号化ランサムウェアを除去する方法は主に2つあります。1つは全データの復旧を望んで身代金を支払う方法ですが、支払い後に全データを取り戻せたと報告した組織は、7社に1社しかありません。もう1つは、スキャンしてクリーンであることを確認した本番データのイミュータブルなバックアップを、ランサムウェア除去の復元手段として使用することです。

ランサムウェアの除去にかかる費用はどれくらいか?

ランサムウェアの除去にかかる費用は、ランサムウェア攻撃の規模や範囲、攻撃を受けた企業の規模や脅威への準備体制によって大きく異なります。

Sky Lakes Medical Centerが2020年10月に大規模なランサムウェア攻撃によって予期せぬ侵害を受けた際、同医療機関は即座に信頼できる専門家に連絡し、データセキュリティおよびデータマネジメントの緊急対応チームとして機能させました。イミュータブルバックアップスナップショット、DataLock、その他ランサムウェア攻撃を阻止、検知し、大規模かつ迅速なデータ復旧を行うビルトインの保護機能によって、SkyLakesのITスタッフは身代金を拒むことができました。

使用したプラットフォームは時間のかかるテープバックアップによる復旧プロセスを不要にするもので、データを失うことなくリストアを高速化しました。Sky Lakesのテクノロジーソリューション担当マネージャーはこう言います。「テープを使ったバックアップをしなければならなかったとしたら、復旧には数分どころか数週間はかかっていたでしょう。さらには、およそ3か月分ものデータを失っていたことでしょう。でも、実際には私たちは何も失いませんでした」。

ランサムウェアの迅速な除去は、以下を守る上で重要です:

• ブランドの信頼と評判
• 収益と顧客ロイヤルティ
• 従業員の生産性

コンピューターをワイプ (データの消去) すれば、ランサムウェアを除去できるのか?

コンピュータをワイプすればランサムウェアを除去することができますが、企業全体に拡散したランサムウェアを除去するためにコンピューターやサーバーを大規模にワイプするというのは現実的ではありません。だからこそ組織は、ランサムウェアからの大規模な復旧といったランサムウェア対策機能を備えた、堅牢なデータセキュリティとデータ管理ソリューションに投資しているのです。

最高のランサムウェア除去ソフトウェアとは?

最高のランサムウェア除去ソフトウェアとは、組織の運用を最速で再開できるものです。このようなソフトウェアには、システムがランサムウェアに再感染しないよう、脆弱性のスキャンとチェックが完了していることを確認した上で、チームが自信を持って迅速に復旧できる手段を備えている必要があります。

とはいえ、最高のランサムウェア除去ソフトウェアについて考えるのに最適な時期は、ランサムウェア攻撃の発生前です。攻撃前であれば組織は、ランサムウェア攻撃から保護し、検知し、迅速に復旧することのできる、実績のある業界をリードするバックアップと復旧ソリューションを比較し評価することができます。

攻撃が発生し、バックアップデータにランサムウェアが含まれている疑いがある場合、そのデータをクリーンルーム環境へリストアし、感染を除去することができます。これには、脅威スキャンやアンチウィルス製品によるランサムウェアの特定や、感染したファイルの削除などが含まれます。さらに、バックアップをスキャンして、修復すべき脆弱性がないかどうかを確認する必要があります。これらの手順が完了すると、バックアップデータを復旧することができます。

Cohesityとランサムウェアの除去

最適なランサムウェアの除去を実現するCohesityのプロアクティブなランサムウェア対策には、組織がデータを侵害から守り、検知し、迅速に復旧できる機能が含まれています。

保護

• イミュータブルスナップショット: すべてのバックアップスナップショットが、デフォルトでCohesityのイミュータブルの状態で保存されます。オリジナルのスナップショット (ゴールドコピー) は、外部のシステムやアプリケーションからマウントされたり、露出されたりすることは決してありません。復旧のために、新しいデータを書き込んだり、読み書きモードでバックアップにマウントする唯一の方法は、システムが自動で行うオリジナルバックアップのゼロコストクローンを作成することです。
• DataLock: このバックアップのWORM (Write Once, Read Many) 機能では、選択したバックアップスナップショットに、ロールベースの保護ポリシーを作成し適用することができます。これはスナップショットの期間を時間制約付きで設定するもので、管理者やセキュリティ担当者であっても変更できないため、ランサムウェアに対する保護が強化されます。
• データの暗号化: Cohesityのソフトウェアには、NIST (United States National Institute of Standards and Technology、米国国立標準技術研究所) により、世界的に信頼されているFIPS (Federal Information Processing Standards、連邦情報処理規格) 140-2レベル1規格で検証された暗号モジュールが搭載されています。Cohesityは、転送中のデータはTLS 1.2で暗号化し、保存中のデータはAES-256 GCMで暗号化します。
• 多要素認証 (MFA): Cohesityは、Active Directoryとの強力な統合、アクセス制御リスト、包括的なシステムや製品レベルの監査といった認証機能だけでなく、その人が持っているものと知っているものを用いた多段階認証にも対応しています。
• RBAC (ロールベースのアクセス制御): データやシステムへ不正にアクセスされるリスクを軽減するため、Cohesityはゼロトラストの原則を活かしてプラットフォームや設定へのアクセスを厳しく制御しています。Cohesityを通じて、IT部門は従業員に役割別の最小レベルのアクセスを付与することができます。
• クォーラムや4-Eyes承認による保護: バックアップスケジュールや保持期間といった重要な設定の変更は複数名の承認を受けて設定可能とすることで、データやシステムをランサムウェアや内部脅威から守ります。

検知

• AI/MLによる異常検出: データの挙動に異なる点を見つけた場合、それはランサムウェア攻撃の開始された兆候である可能性があるため、Cohesityは自動的かつ継続的に監視し、チームに通知します。
• 脅威からの保護: Cohesityではバックアップをスキャンし、ランサムウェアや攻撃に使用される可能性のあるその他の悪意のあるソフトウェアの存在を明らかにする侵害の痕跡 (IoC) を検出することができます。
• 自動アラート: 非構造化ファイル、構造化ファイル、オブジェクトデータのデータ変更が通常のパターンとずれている場合、Cohesityはシステム管理者に自動通知します。
• 脆弱性スキャン: Cohesityでは、すでに対処したサイバー脆弱性を攻撃からの復旧中に本番環境へ再投入しないよう、脆弱性を可視化し先回りして対処することができます。

迅速なリカバリ

• インスタントマスリストア: Cohesityでは、数百ものVM (仮想マシン)、ファイル、オブジェクト、巨大データベースへのアクセスをスナップショットから即座にリストアするだけで、ランサムウェアを迅速に除去することができます。
• システムスキャン: Cohesity CyberScanはスナップショットの詳細な可視性を提供するため、完全にクリーンなランサムウェアの除去を行うことができ、本番環境へのマルウェアの再投入の回避に役立ちます。
• データの隔離: Cohesity FortKnoxはミッションクリティカルなデータの隔離に最適なCohesityマネージドのクラウド保管で、クリーンなバックアップデータコピーを常にオフサイトでセキュアに確保することができます。