【世界規模のランサムウェア攻撃 Petya】WannaCry との違いと脅威について


カスペルスキー社のブログより

こんにちは、BackStore です。

WannaCry のニュースが収束し始めたと思った矢先、また新たな世界規模の「ランサムウェア」攻撃が開始されました。

一口に同じ「ランサムウェア」と言っても、今回の攻撃と WannaCry とでは、大きく違います(一方で共通点も多くあります)。

今回の攻撃は、「Petya」と呼ばれるランサムウェアとの類似点が多く指摘されていることから、Petya と呼ばれることが多いです。この記事でも、Petya と呼称します。
※ 後述しますが Petya とは大きく異なる点も指摘されており、NotPetya、ExPetr と呼ばれることもあります。

今回の Petya も WannaCry と同様かそれ以上の感染力をもっています(メカニズムは違います)。ローカルネットワーク内の1台が感染すると、次々に他の機器も暗号化される危険があります。

前回の WannaCry と同様、SMB の脆弱性(Eternal Blue と呼ばれる)を悪用しているため、まだパッチを当てていない企業は、早急に対応をする必要があります。


その1. 今回の被害状況

WannaCry の攻撃では世界 100カ国以上が標的になりましたが、今回はウクライナとロシアを中心にした被害が顕著です。なお、日本での被害は今の所報告されていないようです。

まずウクライナでいえば、チェルノブイリの放射線モニタシステムや首都キエフの地下鉄、国営電力会社の Ukrenergo、銀行などに影響が及んでいます。地下鉄では、プリペイドカードが使用できないなどの被害が出ているようです(PASMO や Suica が使えないと考えると、悪夢です)。

またロシア最大の石油会社の一つ Rosneft 社、米国製薬大手の Merck 社、デンマークの海運会社大手 Maersk 社、その他にも英国、ポーランド、イタリア、ドイツ、フランスなど64カ国での被害が確認されています。


その2.  感染した場合

前回の Petya で感染後に表示されていた画面。2016年3月28日トレンドマイクロ社のブログより

今回の攻撃は、Petya というランサムウェアの亜種ではないかと言われています。
Petya はただファイルを暗号化するだけではなく、Windows の MBR を書き換えてしまい、OS 自体を起動できなくします。

今回の攻撃でも、ファイルの暗号化に加え MBR を起動不能にしています。その他にも内部コードの類似性などが指摘されています。


その3. ランサムウェアではない可能性?

ですが、セキュリティソフトウェアのカスペルスキー社などをはじめとして、少なくない研究者が今回のランサムウェアを「ランサムウェアを装った別物」である可能性を指摘しています。

というのも、「そもそも最初から復号する気などない。データを消去し混乱を引き起こすこと自体を目的にしているのではないか」と言われているのです。

カスペルスキー社がそう主張する根拠としては、本来含まれているはずの「復号に必要な情報」が見当たらない、ということです。
通常のランサムウェアであれば、身代金を要求する画面に表示される固有 ID に、復旧のための情報が含まれています。これを被害者から受け取ることによって、攻撃者は復号キーを抽出します。

ですが、カスペルスキーの調査では、今回の ID には何の情報も含まれておらず、「単なる乱数の可能性が高い」ということです。詳細はこちらのカスペルスキー社のブログをご参照ください。

この説はまだ調査段階で、今後も研究者から様々な指摘が出てくるかと思います。

なお、攻撃者の意図がどうであれ、現在このランサムウェアに身代金を支払うことはできません。支払先に指定されているメールアドレスは、アカウントが既に停止され、使用できないからです。


その4. 攻撃のメカニズム

前述したように、WannaCry 同様 Windows の脆弱性 Eternal Blue を使用します。これだけなら、パッチを当てることで防ぐことができます。

ですが今回の Petya は、加えて Windows の正規ツールである PsExec や WMIC を悪用した感染を行うことができます。

上記の正規ツールを利用するためにはユーザアカウント情報が必要ですが、今回の Petya はセキュリティツール「Mimikatz」を改造したものを活用します。これによってユーザの ID とパスワードを入手し、PsExec や WMIC を利用してマルウェアファイルを実行します。

また、ネットワークを調査し、TCP ポート 445 か 139 が開いている筐体を攻撃していきます。

さらに詳細な攻撃メカニズムなどは、トレンドマイクロ社のブログ記事やカスペルスキー社のブログ記事に詳しく記載されています。

今回の Petya は、パッチを当てても防ぐことはできません。また、1台でも感染すれば、LAN を経由して大規模な被害をもたらす可能性があります。


その5. 最初の感染

従来のランサムウェアのオーソドックスな「最初の感染方法」は、大量のスパムメール攻撃などでした。一方今回の攻撃は、ウクライナの会計ソフトウェア会社 MeDec 社へのハッキングで行われた可能性が指摘されています(MeDec 社は否定しています)。

MeDec 社のソフトウェアの自動アップデート機能を悪用し、マルウェアをコンピュータにダウンロードさせたのではないかと見られているのです。この MeDec 社のソフトウェアはウクライナ政府をはじめとし、多くのウクライナ企業に使用されていることから、同国での被害が広範囲に及んだとされています(狙い撃ちされたとも言えるでしょう)。

なおその後もウクライナのバーフムト市のウェブサイトがハッキングされ、マルウェア配布に悪用されました。

マルウェアの攻撃は進化しています。ただ「怪しいメールを開かなければいい」という対策では、対応できなくなっています。


その6. ランサムウェアに負けない企業になるためには

パッチを当てる、常にセキュリティツールや OS、その他様々なソフトウェアを最新に保つ、メールなど一部の攻撃手法だけでなく改悪された Web ページ経由の感染などあらゆる攻撃を想定したセキュリティ体制を敷くことが重要です。

また、ランサムウェアが次にどのような攻撃手法を使用するかは、予測ができません。今回も銀行や空港、政府機関など、セキュリティ設備を整えているはずの企業・団体が被害にあっています。

「感染するかもしれない」ということを念頭に起き、大事なファイルを暗号化されない場所にバックアップすることが重要です。


その6. BackStore が提供する解決策

今回は、BackStore by inSync を使用している環境でランサムウェアに感染した場合の対処法をご説明します。なお、BackStore by inSync はトレンドマイクロ社にも採用され、5,000 人の PC をバックアップしています(トレンドマイクロ社の事例は、開発元 Druva 社の HP から参照できます。)

6-1. 感染を検知

ファイルがすべて暗号化されると、異常なふるまいとして検知され、管理者にアラートが飛びます。

6-2. 感染対処を LAN から外す

Petya は最大で1時間潜伏するため、手遅れの場合もありますが、LAN から感染の疑いがある筐体を外します。

6-3. 新しい PC を用意

Petya は OS を起動することすら不可能にします。新しい PC を用意します。

6-4. 復元を行う

復元を行います。inSync のソフトウェアをインストールするか、Web ブラウザでコンソールにアクセスし、復元します。
この時、最新のものが良いからといって数時間内のデータを一括復元すると、ランサムウェア実行ファイルが潜んでいる可能性があります。
一括復元をする場合は、Petya の場合では1日から2日以上前のデータを復元した方が良いでしょう。

6-5. 業務開始

inSync はシステム情報も復元できるため、OS再設定の手間はありません。またファイル単位の復元のため、すべての復元が完了するのを待つ必要もありません。

※ 外出先で暗号化された場合

もし会社支給のスマートデバイスを持っている場合は、そのスマートデバイスからバックアップデータにアクセスすることができます。出先ですぐに新しい筐体を用意できない場合は、スマートデバイスからファイルを閲覧しながら業務を進めることが可能です。


最後に

Petya は、パッチを当てることでは防げません。今回はウクライナが標的になりましたが、日本が標的になる可能性もあります。シマンテック社によれば、日本はランサムウェア検知率2位となっています。

お隣韓国のホスティング企業も、つい先日 1億 2700万円の身代金を支払いました。これにより、アジア圏が”良質な市場”であると認識される可能性もあります。

セキュリティ対策はもちろん、いざという時のバックアップ対策も不可欠です。
BackStore by inSync は Windows PC だけでなく、Mac や Linux、スマートフォンにも対応しています。

30日無料試用も可能です。この機会にぜひおためしください。
https://www.backstore.jp/

Facebooktwitter

企業がクラウドストレージをバックアップする理由

こんにちは、BackStore です。

今回はクラウドストレージをバックアップする理由と方法について記載します。

企業による G Suite や Box、Office 365 などのクラウドストレージ利用が増えています。「クラウドならバックアップしなくても大丈夫」と考えている企業や、あるいは「バックアップ代わりに」これらのクラウドストレージを使用している企業も多いかと思います。

ですが、このクラウドストレージこそ、バックアップする必要があるのです。

※ ここではファイル共有のためのクラウドアプリケーションを「クラウドストレージ」と呼んでいます。

 

その1. 企業とクラウドストレージ

どこでもファイルを編集でき、簡単に共有できるクラウドストレージは作業を効率化します。そのため、最初はクラウドに懐疑的だった日本企業も、次々と G Suite や Office365、Box などの導入を進めています。(企業が導入しなくても、ユーザはその便利さを知っています。そうなると、シャドー IT の危険も増していきます。それを防ぐために、あえてクラウド導入に踏み切る企業も多くなってきました)

2020年までに企業データの半分はクラウドストレージに保管されるという調査もあります。

 

その2. クラウドストレージはバックアップの代わりに?

なりません。両者の目的が違うからです。
クラウドストレージはファイルを共有するために、クラウドバックアップはファイルを保管し企業をリスクから守るためにあります。

バックアップとしてクラウドストレージを考えると、暗号鍵などセキュリティ上の懸念だけでなく、一定期間以上経過した世代を消去してしまう、復元に特殊な手続きが必要になるなど、様々な課題が浮上します。

なおクラウドストレージがバックアップの代わりにならない理由は、当ブログの他の記事でも紹介しています。
【今更聞けない】クラウドストレージがバックアップとして使用できない理由5つ(2016年8月25日)

まとめると、下記の懸念があるわけです。

・ストレージにアップロードする必要があるため、網羅的かつ継続的なバックアップができない
・ストレージ上のデータを容易に削除・上書きできてしまう
・過去データの復元は特別な手続きが必要になる場合がある
・過去のデータを復元できる期間には制限があり、それがすぎると完全削除される
・暗号鍵の所在が明らかでないため、ベンダー側がデータにアクセスできる余地がある

さてここからは、クラウドストレージがバックアップの代わりにならないだけでなく、クラウドストレージ「を」バックアップする必要がある理由を記載します。

 

その3. ランサムウェアに暗号化されてしまう

昨今認知度が急激に高まっているランサムウェア対策にバックアップを検討する企業も多いでしょう。

クラウドストレージのデータはランサムウェアに感染し、暗号化されます。強力な感染力を持っているランサムウェアの場合、クラウドストレージ内のデータ全てが暗号化されるという可能性さえあります。

なお、ランサムウェアとクラウドストレージについても、当ブログの前回記事で紹介しています。
ランサムウェアに暗号化されるクラウド・されないクラウドとその違い(2017年6月1日)

クラウドストレージ内のデータが暗号化された場合、感染源となっているファイルをクラウド上から完全削除し、その上でベンダーに連絡を取り、暗号化された全てのデータを復元してもらう必要があります。どの程度の時間がかかるのか、誰がどのように行うのか、追加の費用は発生するかなどをあらかじめ確認し、その作業に伴う損失が見合うものかどうかを検討する必要があります。

 

その4. そもそもサービス側にデータを保護する責任がない

クラウドストレージベンダーは、ユーザの誤操作やマルウェアの侵入によって引き起こされたデータの損傷や損失などに責任を持ちません。データの保護はユーザが行うべきことであって、ストレージベンダーが行うことではないのです。(ベンダーに過失がある場合は、無論ベンダーが責任を取ります)

クラウドサービスだからといって、「サービス側でバックアップをとっているだろう、安心できるだろう」というのは思い込みというものです。

 

その5. BackStore が提供する +α

BackStore なら、「クラウドストレージのデータを保護することができる」だけではありません。

・パソコンやスマートフォンのデータも一括管理
BackStore inSync はパソコンやスマートフォンのデータもバックアップします。複数のサービスを用いる必要がないため、管理工数を削減します。

全文検索でデータを可視化
クラウドにバックアップしたデータはすべて全文検索することができます。誰が、どこに、どのデータを保存しているかを web から簡単に確認できます。メールの宛先情報や添付ファイルなどのメタデータも検索可能です。

情報流出防止
パソコンが盗難・紛失にあった際には、パソコンやスマートフォン内のデータをリモートワイプします。

e-discovery 対策
クラウドストレージのデータは特に改ざん・隠匿を防ぐことが難しくなっています。その場合でも、すべての世代をクラウドバックアップを用いて保存することで、データを保全します。さらに、e-discovery の対象には数年前のデータも含まれてしまうことがあります。正しくデータを提出できない場合、FCPA であれば刑事罰に、一般の民事訴訟であっても圧倒的に不利になる場合があります。
e-discovery については、当ブログ下記の記事も合わせてご確認ください。
e-discovery | 日本企業も対応が求められるデータガバナンスとは(2017年5月10日)

 

その6. クラウドストレージをバックアップするには

BackStore by inSync では、クラウドストレージをバックアップすることができます。

難しい操作は不要です。主な手順は下記です。

<手順>

1. Web 管理コンソールにログインし、Data Sources > Cloud Apps を選択

 

2. バックアップしたいクラウドストレージサービスを選択し、「Configure」をクリック。対象サービスのログイン画面へ移動します。管理者アカウントでログインすれば、Configure は完了です。

基本の設定は以上です。

あとは BackStore by inSync 内に登録されているメールアドレスとクラウドストレージで登録されたメールアドレスが同じであれば、アカウント同士がひも付きます。

以上です。

 

最後に

クラウドストレージは便利です。なので従業員は様々なデータをそこに保存し、メールをやりとりします。
だからこそ、クラウドストレージ内のデータを正しく保護し、リスクから守ることが重要です。

繰り返しになりますが、クラウドストレージの SLA 上は、データの保護は基本的に「ユーザの責任」です。ランサムウェアに感染したときのため、e-discovery で退職者など過去のデータが必要になったときのために、データを保護する必要があります。

Facebooktwitter

IT 担当者がたった一人でも、企業のデータをしっかり守るバックアップを行うための7ポイント

 

こんにちは、BackStore です。

BackStore は国内約 1,300 社の企業様にお使いいただいております。お客様は、国内中に拠点があるような大企業様から中小企業様まで、さまざまですが、数の上で多いのはやはり中小企業様です。

多くは IT の担当者が一人しかいない、あるいは他の業務と兼任している会社様です。

一昨日、この実感を裏付ける調査がデルから発表されました。国内企業の IT 動向を調査結したものですが、それによりますと、IT 担当者が一人しかいない、あるいは担当者がいない企業が全体の 3 割にもなるということでした。(詳しくは ITPro さんの 2017/2/14 付けのこちらの記事をご参照ください


 

その1. IT 人手不足の場合、最適なバックアップとは?

 

人が足りなくても、データが業務に重要であれば、それを保護することは担当者の責任です。人が足りないのであれば「運用が楽で手離れが良い」「万が一の時に即時対応できる」サービスが求められますが、ではそれは具体的にはどのようなサービスでしょうか。

運用が楽で手離れが良いために

  • バックアップ機器のメンテナンスが必要ない
  • 日々のバックアップに手作業を必要としない
  • バックアップサービスを OS ごとに使い分ける必要がない
  • バックアップ状況を簡単に確認できる、自動アラート機能などがある
  • 新人・引き継ぎ・社内の教育コストがかからない

万が一の時に即時対応できる

  • 復元が簡単
  • 万が一の時のために電話、メールでのサポートが充実している

ちなみに、バックアップが万全でないなどの場合、「バックアップ機器もスプリンクラーで故障し、データ復旧に3日寝ずに頑張ったが半分しか復元できなかった」などのことが起こりかねません。そこまでいかなくとも、「そういえば復元方法がよくわからない(いざとなれば何とかなるかも)」という企業様は多い印象です。

 


 

その2. クラウドバックアップ vs ローカルバックアップ

 

では、バックアップ先としてより好ましいのは、クラウドと自社内、どちらでしょうか。どちらも一長一短ですので、自社に最適なものを選ぶ必要があります。

 

ローカルバックアップの良い点・悪い点

勿論、NAS を購入して自社内でバックアップを行う方が安価です。ですが、NAS は突然壊れることがありますし、ランサムウェアには対応できません。NAS につながっている機器の1つがランサムウェアに感染してしまえば、バックアップデータもすべて暗号化される危険があります。

また、NAS 入れ替えの手間や復元の手間、あるいは担当者不在の時に万が一のことが起こった時の対応、災害時の大きな揺れやスプリンクラー誤作動による NAS の故障など、懸念は多くあります。

 

クラウドバックアップの良い点・悪い点

一方のクラウドバックアップの主なデメリットは、ランニングコストがかかる、ということです。

メリットとしては、やはり手離れの良さが挙げられます。基本的に IT 専任者がいない、足りていない場合のデータ保護の問題点は、クラウドバックアップで解決できるかと思います。

AWS などにバックアップするために一から自社構築するのは大変ですが、SaaS であれば、基本的にはバックアップ対象の機器にインストールするだけで、準備完了です。

勿論機器の入れ替えやメンテナンスは不要ですし、ランサムウェアの感染も免れることができます。サービスだけで自動で通信・データの暗号化をするか、どこにデータが保存されるかなどのセキュリティ要件は確認する必要がありますが、それがクリアできていれば、自社の棚の上に置かれた NAS にバックアップをするよりは、クラウドにバックアップした方がずっと安全です。

 


その3. BackStore のバックアップ

BackStore が中小企業様のバックアップにお役立ちできることは、主に下記です。
運用面

  • 手動操作不要の自動バックアップ
  • Web 管理コンソールでバックアップ状況確認
  • 自動アラート通知
  • マルチ OS 対応でサービス使い分ける必要なし

サポート面

  • 復元は数クリック
  • OS をまたいだ復元・遠隔復元
  • 緊急時 24365 のサポート対応

バックアップ対象を選ぶだけで初期設定が完了したり、手動操作不要で継続出来たり、機器や回線の負荷が少なく済むというソフトウェア側の利点もあります。ですが、やはり 2009 年からサービスを開始し、ずっと日本の中小企業様を中心にサポートしていたため、そのあたりのノウハウが蓄積されていることも大きなポイントかと思います。

とはいうものの、クラウドバックアップだけでも日本にはたくさんのサービスがあります。「バックアップ方法」ということになりますと、枚挙にいとまがありません。是非自社に最適なサービス・方法を見つけ、いつでも事業を継続できるようなシステム作りを行っていただければと思います。

Facebooktwitter

【クラウドバックアップ】HPに書いてない!けど導入前に気をつけるべき2ポイント

 

backstore-logo-blue-big

 

こんにちは、BackStore です。

弊社を始め日本中でインフルエンザが流行っていますが、いかがお過ごしでしょうか。

さて、クラウドバックアップサービスのホームページを見ると、色々と良いことがたくさん書いてあります。その中でどこを選定基準にするか、は企業によって異なるでしょう。ですが、どうしてもクラウドバックアップ事業者が書けない、でも利用者側は知っておくべきことがあります。

それは、「実際どのくらいの負荷がかかるのか」「実際どのくらいの速度なのか」ということです。この2つは、回線や機器スペック、バックアップ対象のデータ容量や種類に左右されるため、サービス側も正確には出せません。いくらサービス側が「負荷の低い設計」「転送容量が最小限だから時間も抑えられる」と言っても(BackStore でもこの両方を謳ってますが‥)、自社環境では実際にどうなのか、はやはり試さないとわかりません。

では、この2項目は、利用者にとって本当に大切な事なのでしょうか。


その1. 負荷

 

これはパソコンのバックアップでは特に重要です。変更が頻繁に行われないサーバのバックアップであれば、業務が行われていない深夜にスケジュール設定するなどの方法で「どうにか」することは可能です。

ですが、従業員が日常の業務を行う、つまりデータの変更が頻繁に起こるパソコンのバックアップは、できれば数十分から数時間単位でバックアップを行いたいところです。そのバックアップが機器の負荷を上げ、業務に支障が出てしまう、というのでは、本末転倒です。

ちなみに、特に「重複排除」を行う場合に機器の負荷が上がりやすいです。これはバックアップ容量を最低限にすることができますが、一方、バックアップ対象のファイルすべてをスキャンし変更箇所を検知するため、うっかりすると機器に負荷をかけやすいのです。

BackStore は、機器の負荷を上げないために、このスキャンの深度を3回に分けています。すなわち、細かい変更まですべて検知するような深いスキャンは1日〜数日毎に行い、毎バックアップごとにはそれよりも浅いスキャンに止め、負荷を上げないようにするのです。

が、やはり、機器のスペックやバックアップ対象の容量・ファイル数・種類によって変わってきてしまいます。なお、BackStore では最後の手段として「CPU 利用率の制限」をかけることも可能です。


その2. 速度

 

負荷も高くて速度も遅い、というのは問題外です。必要以上に存在感を出し、ユーザの生産性を下げるようなバックアップは選択するべきではありません。

速度には「バックアップ」「復元」の両方があります。バックアップの速度を問題にする場合(負荷がかからないとして)、問題となるのは「バックアップデータの鮮度」かと思います。例えば15分毎にバックアップを走らせていたとしても、1回のバックアップに1時間かかるのであれば、当然データの鮮度は落ちます。

また、夜中に限定したいのに、夜の内にバックアップが終わらない!というのも困ります。

復元の速度を問題にする場合は、言わずもがな「ダウンタイム」が関わってきます。これも、例えば BackStore であれば、1ファイルあたりの容量が少ない場合は、割合すぐ復元できるのです。が、1ファイル数十 GB になる場合、相応の時間がかかります。

無論速度は回線の質と保存先との距離も問題になってきますので、正確に測るのは難しいですが、導入前にある程度の目安がついていると安心です。


その3. 加えて‥特に注意すべきバックアップ対象

 

この2ポイントに関連してですが、特定のファイルに関しては特に注意が必要です。基本的には、オフィス系のファイルのみのバックアップであれば、速度も負荷もそこまで気にする必要はありません(少なくとも BackStore の場合は)。

・画像や動画

・他サービスでバックアップされたファイル

上記は重複排除や圧縮がかかりにくいです。これは BackStore に限ったことではありません。画像や動画は、オフィス系のファイルと比べて細かい変更を検知しづらいのです。また他サービスでバックアップしたファイルをさらにバックアップする場合(例えばイメージバックアップファイルをクラウドへバックアップする場合)、これは既に圧縮がかけられているので、そのファイルをさらに圧縮する、というのは、なかなか難しいのです。

特にバックアップ対象が上記の場合は、単純に金額や記載された機能で決めるのではなく、実際の環境でトライアルを行うことが大切です。


最後に

 

巷には様々なクラウドバックアップサービスが溢れています。やはり一番に目につくのは価格ですが、バックアップは基本的に日々ずっと使うものです。実際の使い勝手をちゃんと確かめてから導入を決めることも大切です。

Facebooktwitter