【世界規模のランサムウェア攻撃 Petya】WannaCry との違いと脅威について


カスペルスキー社のブログより

こんにちは、BackStore です。

WannaCry のニュースが収束し始めたと思った矢先、また新たな世界規模の「ランサムウェア」攻撃が開始されました。

一口に同じ「ランサムウェア」と言っても、今回の攻撃と WannaCry とでは、大きく違います(一方で共通点も多くあります)。

今回の攻撃は、「Petya」と呼ばれるランサムウェアとの類似点が多く指摘されていることから、Petya と呼ばれることが多いです。この記事でも、Petya と呼称します。
※ 後述しますが Petya とは大きく異なる点も指摘されており、NotPetya、ExPetr と呼ばれることもあります。

今回の Petya も WannaCry と同様かそれ以上の感染力をもっています(メカニズムは違います)。ローカルネットワーク内の1台が感染すると、次々に他の機器も暗号化される危険があります。

前回の WannaCry と同様、SMB の脆弱性(Eternal Blue と呼ばれる)を悪用しているため、まだパッチを当てていない企業は、早急に対応をする必要があります。


その1. 今回の被害状況

WannaCry の攻撃では世界 100カ国以上が標的になりましたが、今回はウクライナとロシアを中心にした被害が顕著です。なお、日本での被害は今の所報告されていないようです。

まずウクライナでいえば、チェルノブイリの放射線モニタシステムや首都キエフの地下鉄、国営電力会社の Ukrenergo、銀行などに影響が及んでいます。地下鉄では、プリペイドカードが使用できないなどの被害が出ているようです(PASMO や Suica が使えないと考えると、悪夢です)。

またロシア最大の石油会社の一つ Rosneft 社、米国製薬大手の Merck 社、デンマークの海運会社大手 Maersk 社、その他にも英国、ポーランド、イタリア、ドイツ、フランスなど64カ国での被害が確認されています。


その2.  感染した場合

前回の Petya で感染後に表示されていた画面。2016年3月28日トレンドマイクロ社のブログより

今回の攻撃は、Petya というランサムウェアの亜種ではないかと言われています。
Petya はただファイルを暗号化するだけではなく、Windows の MBR を書き換えてしまい、OS 自体を起動できなくします。

今回の攻撃でも、ファイルの暗号化に加え MBR を起動不能にしています。その他にも内部コードの類似性などが指摘されています。


その3. ランサムウェアではない可能性?

ですが、セキュリティソフトウェアのカスペルスキー社などをはじめとして、少なくない研究者が今回のランサムウェアを「ランサムウェアを装った別物」である可能性を指摘しています。

というのも、「そもそも最初から復号する気などない。データを消去し混乱を引き起こすこと自体を目的にしているのではないか」と言われているのです。

カスペルスキー社がそう主張する根拠としては、本来含まれているはずの「復号に必要な情報」が見当たらない、ということです。
通常のランサムウェアであれば、身代金を要求する画面に表示される固有 ID に、復旧のための情報が含まれています。これを被害者から受け取ることによって、攻撃者は復号キーを抽出します。

ですが、カスペルスキーの調査では、今回の ID には何の情報も含まれておらず、「単なる乱数の可能性が高い」ということです。詳細はこちらのカスペルスキー社のブログをご参照ください。

この説はまだ調査段階で、今後も研究者から様々な指摘が出てくるかと思います。

なお、攻撃者の意図がどうであれ、現在このランサムウェアに身代金を支払うことはできません。支払先に指定されているメールアドレスは、アカウントが既に停止され、使用できないからです。


その4. 攻撃のメカニズム

前述したように、WannaCry 同様 Windows の脆弱性 Eternal Blue を使用します。これだけなら、パッチを当てることで防ぐことができます。

ですが今回の Petya は、加えて Windows の正規ツールである PsExec や WMIC を悪用した感染を行うことができます。

上記の正規ツールを利用するためにはユーザアカウント情報が必要ですが、今回の Petya はセキュリティツール「Mimikatz」を改造したものを活用します。これによってユーザの ID とパスワードを入手し、PsExec や WMIC を利用してマルウェアファイルを実行します。

また、ネットワークを調査し、TCP ポート 445 か 139 が開いている筐体を攻撃していきます。

さらに詳細な攻撃メカニズムなどは、トレンドマイクロ社のブログ記事やカスペルスキー社のブログ記事に詳しく記載されています。

今回の Petya は、パッチを当てても防ぐことはできません。また、1台でも感染すれば、LAN を経由して大規模な被害をもたらす可能性があります。


その5. 最初の感染

従来のランサムウェアのオーソドックスな「最初の感染方法」は、大量のスパムメール攻撃などでした。一方今回の攻撃は、ウクライナの会計ソフトウェア会社 MeDec 社へのハッキングで行われた可能性が指摘されています(MeDec 社は否定しています)。

MeDec 社のソフトウェアの自動アップデート機能を悪用し、マルウェアをコンピュータにダウンロードさせたのではないかと見られているのです。この MeDec 社のソフトウェアはウクライナ政府をはじめとし、多くのウクライナ企業に使用されていることから、同国での被害が広範囲に及んだとされています(狙い撃ちされたとも言えるでしょう)。

なおその後もウクライナのバーフムト市のウェブサイトがハッキングされ、マルウェア配布に悪用されました。

マルウェアの攻撃は進化しています。ただ「怪しいメールを開かなければいい」という対策では、対応できなくなっています。


その6. ランサムウェアに負けない企業になるためには

パッチを当てる、常にセキュリティツールや OS、その他様々なソフトウェアを最新に保つ、メールなど一部の攻撃手法だけでなく改悪された Web ページ経由の感染などあらゆる攻撃を想定したセキュリティ体制を敷くことが重要です。

また、ランサムウェアが次にどのような攻撃手法を使用するかは、予測ができません。今回も銀行や空港、政府機関など、セキュリティ設備を整えているはずの企業・団体が被害にあっています。

「感染するかもしれない」ということを念頭に起き、大事なファイルを暗号化されない場所にバックアップすることが重要です。


その6. BackStore が提供する解決策

今回は、BackStore by inSync を使用している環境でランサムウェアに感染した場合の対処法をご説明します。なお、BackStore by inSync はトレンドマイクロ社にも採用され、5,000 人の PC をバックアップしています(トレンドマイクロ社の事例は、開発元 Druva 社の HP から参照できます。)

6-1. 感染を検知

ファイルがすべて暗号化されると、異常なふるまいとして検知され、管理者にアラートが飛びます。

6-2. 感染対処を LAN から外す

Petya は最大で1時間潜伏するため、手遅れの場合もありますが、LAN から感染の疑いがある筐体を外します。

6-3. 新しい PC を用意

Petya は OS を起動することすら不可能にします。新しい PC を用意します。

6-4. 復元を行う

復元を行います。inSync のソフトウェアをインストールするか、Web ブラウザでコンソールにアクセスし、復元します。
この時、最新のものが良いからといって数時間内のデータを一括復元すると、ランサムウェア実行ファイルが潜んでいる可能性があります。
一括復元をする場合は、Petya の場合では1日から2日以上前のデータを復元した方が良いでしょう。

6-5. 業務開始

inSync はシステム情報も復元できるため、OS再設定の手間はありません。またファイル単位の復元のため、すべての復元が完了するのを待つ必要もありません。

※ 外出先で暗号化された場合

もし会社支給のスマートデバイスを持っている場合は、そのスマートデバイスからバックアップデータにアクセスすることができます。出先ですぐに新しい筐体を用意できない場合は、スマートデバイスからファイルを閲覧しながら業務を進めることが可能です。


最後に

Petya は、パッチを当てることでは防げません。今回はウクライナが標的になりましたが、日本が標的になる可能性もあります。シマンテック社によれば、日本はランサムウェア検知率2位となっています。

お隣韓国のホスティング企業も、つい先日 1億 2700万円の身代金を支払いました。これにより、アジア圏が”良質な市場”であると認識される可能性もあります。

セキュリティ対策はもちろん、いざという時のバックアップ対策も不可欠です。
BackStore by inSync は Windows PC だけでなく、Mac や Linux、スマートフォンにも対応しています。

30日無料試用も可能です。この機会にぜひおためしください。
https://www.backstore.jp/

Facebooktwitter

企業がクラウドストレージをバックアップする理由

こんにちは、BackStore です。

今回はクラウドストレージをバックアップする理由と方法について記載します。

企業による G Suite や Box、Office 365 などのクラウドストレージ利用が増えています。「クラウドならバックアップしなくても大丈夫」と考えている企業や、あるいは「バックアップ代わりに」これらのクラウドストレージを使用している企業も多いかと思います。

ですが、このクラウドストレージこそ、バックアップする必要があるのです。

※ ここではファイル共有のためのクラウドアプリケーションを「クラウドストレージ」と呼んでいます。

 

その1. 企業とクラウドストレージ

どこでもファイルを編集でき、簡単に共有できるクラウドストレージは作業を効率化します。そのため、最初はクラウドに懐疑的だった日本企業も、次々と G Suite や Office365、Box などの導入を進めています。(企業が導入しなくても、ユーザはその便利さを知っています。そうなると、シャドー IT の危険も増していきます。それを防ぐために、あえてクラウド導入に踏み切る企業も多くなってきました)

2020年までに企業データの半分はクラウドストレージに保管されるという調査もあります。

 

その2. クラウドストレージはバックアップの代わりに?

なりません。両者の目的が違うからです。
クラウドストレージはファイルを共有するために、クラウドバックアップはファイルを保管し企業をリスクから守るためにあります。

バックアップとしてクラウドストレージを考えると、暗号鍵などセキュリティ上の懸念だけでなく、一定期間以上経過した世代を消去してしまう、復元に特殊な手続きが必要になるなど、様々な課題が浮上します。

なおクラウドストレージがバックアップの代わりにならない理由は、当ブログの他の記事でも紹介しています。
【今更聞けない】クラウドストレージがバックアップとして使用できない理由5つ(2016年8月25日)

まとめると、下記の懸念があるわけです。

・ストレージにアップロードする必要があるため、網羅的かつ継続的なバックアップができない
・ストレージ上のデータを容易に削除・上書きできてしまう
・過去データの復元は特別な手続きが必要になる場合がある
・過去のデータを復元できる期間には制限があり、それがすぎると完全削除される
・暗号鍵の所在が明らかでないため、ベンダー側がデータにアクセスできる余地がある

さてここからは、クラウドストレージがバックアップの代わりにならないだけでなく、クラウドストレージ「を」バックアップする必要がある理由を記載します。

 

その3. ランサムウェアに暗号化されてしまう

昨今認知度が急激に高まっているランサムウェア対策にバックアップを検討する企業も多いでしょう。

クラウドストレージのデータはランサムウェアに感染し、暗号化されます。強力な感染力を持っているランサムウェアの場合、クラウドストレージ内のデータ全てが暗号化されるという可能性さえあります。

なお、ランサムウェアとクラウドストレージについても、当ブログの前回記事で紹介しています。
ランサムウェアに暗号化されるクラウド・されないクラウドとその違い(2017年6月1日)

クラウドストレージ内のデータが暗号化された場合、感染源となっているファイルをクラウド上から完全削除し、その上でベンダーに連絡を取り、暗号化された全てのデータを復元してもらう必要があります。どの程度の時間がかかるのか、誰がどのように行うのか、追加の費用は発生するかなどをあらかじめ確認し、その作業に伴う損失が見合うものかどうかを検討する必要があります。

 

その4. そもそもサービス側にデータを保護する責任がない

クラウドストレージベンダーは、ユーザの誤操作やマルウェアの侵入によって引き起こされたデータの損傷や損失などに責任を持ちません。データの保護はユーザが行うべきことであって、ストレージベンダーが行うことではないのです。(ベンダーに過失がある場合は、無論ベンダーが責任を取ります)

クラウドサービスだからといって、「サービス側でバックアップをとっているだろう、安心できるだろう」というのは思い込みというものです。

 

その5. BackStore が提供する +α

BackStore なら、「クラウドストレージのデータを保護することができる」だけではありません。

・パソコンやスマートフォンのデータも一括管理
BackStore inSync はパソコンやスマートフォンのデータもバックアップします。複数のサービスを用いる必要がないため、管理工数を削減します。

全文検索でデータを可視化
クラウドにバックアップしたデータはすべて全文検索することができます。誰が、どこに、どのデータを保存しているかを web から簡単に確認できます。メールの宛先情報や添付ファイルなどのメタデータも検索可能です。

情報流出防止
パソコンが盗難・紛失にあった際には、パソコンやスマートフォン内のデータをリモートワイプします。

e-discovery 対策
クラウドストレージのデータは特に改ざん・隠匿を防ぐことが難しくなっています。その場合でも、すべての世代をクラウドバックアップを用いて保存することで、データを保全します。さらに、e-discovery の対象には数年前のデータも含まれてしまうことがあります。正しくデータを提出できない場合、FCPA であれば刑事罰に、一般の民事訴訟であっても圧倒的に不利になる場合があります。
e-discovery については、当ブログ下記の記事も合わせてご確認ください。
e-discovery | 日本企業も対応が求められるデータガバナンスとは(2017年5月10日)

 

その6. クラウドストレージをバックアップするには

BackStore by inSync では、クラウドストレージをバックアップすることができます。

難しい操作は不要です。主な手順は下記です。

<手順>

1. Web 管理コンソールにログインし、Data Sources > Cloud Apps を選択

 

2. バックアップしたいクラウドストレージサービスを選択し、「Configure」をクリック。対象サービスのログイン画面へ移動します。管理者アカウントでログインすれば、Configure は完了です。

基本の設定は以上です。

あとは BackStore by inSync 内に登録されているメールアドレスとクラウドストレージで登録されたメールアドレスが同じであれば、アカウント同士がひも付きます。

以上です。

 

最後に

クラウドストレージは便利です。なので従業員は様々なデータをそこに保存し、メールをやりとりします。
だからこそ、クラウドストレージ内のデータを正しく保護し、リスクから守ることが重要です。

繰り返しになりますが、クラウドストレージの SLA 上は、データの保護は基本的に「ユーザの責任」です。ランサムウェアに感染したときのため、e-discovery で退職者など過去のデータが必要になったときのために、データを保護する必要があります。

Facebooktwitter

ランサムウェアに暗号化されるクラウド・されないクラウドとその違い

 

 

こんにちは、BackStore です。

ランサムウェアの猛威は止まりません。
最近では、モバイルを狙ったランサムウェアが増えているようです。

個人はもちろん、企業でも Android や iPhone あるいは Windows Phone を使用しているところは多いかと思いますが、それらも決してランサムウェアから無縁ではありません。これらのデータの保護も検討する必要があります。

さて、ランサムウェアに着目したデータ保護ということで、BackStore ではよく「外付けハードディスクへのバックアップは暗号化される、安全なクラウドへ」と言っていますが、お客様から「クラウドへバックアップしたデータも暗号化されると聞いたが、大丈夫か」とお問い合わせを受けることが多くなってきました。

「クラウドへバックアップすれば大丈夫」と「クラウドも暗号化される」、この2つ、実はどちらも真実です。

そこで今回は、バックアップと”クラウド”、ランサムウェアの関係を整理したいと思います。


その0. バックアップデータも暗号化されるの!?

 

クラウドの前に、まずバックアップデータから。
バックアップデータも、暗号化されます。

感染した筐体(主にPC)と物理的に接続されている、あるいは同一 LAN 内にあるデータは暗号化されます。

そのため、外付けハードディスクや USB は勿論、データセンター内のファイルサーバも、暗号化される危険性があります。物理的に繋がなければいいので、バックアップ時以外は切り離しておく、というのも手段の1つです。

が、日夜業務に追われる従業員にそれを課すことが現実的かどうかは考える必要があります。また、ランサムウェアはいつ暗号化を実行するかわかりません。繋いだ瞬間に実行されれば、意味はありません。

しかもランサムウェアにとって「バックアップ領域」はいわば天敵ですから(バックアップがあると身代金回収ができない)、これらのドライブ領域は真っ先に狙われるのです。さらに、Windows の VSS 領域や Mac の Time Machine も彼らの”敵”の1つです。


その1. クラウドもランサムウェアに暗号化される!?

 

その「天敵」には、クラウドサービスももちろん含まれます。

Google Drive や Dropbox などの【同期型クラウドストレージ】は、ランサムウェアの種類にもよりますが、暗号化されます。聖域ではありません。
Dropbox は、「Dropbox 内のファイルが暗号化された場合」の対処法を公開しています。他のクラウドストレージサービスも、復元する方法を提供してはいます。が、その工数や方法、かかる日数などが現実的なものかは、あらかじめ確認する必要があるでしょう。


その2. どうやってクラウドを暗号化するの?

 

ランサムウェアは、クラウドストレージの便利な「同期」機能を悪用します。

デスクトップに同期されたクラウドストレージのファイルは、ローカルファイルと同じように暗号化されてしまいます。
仮にその同期フォルダの中にランサムウェア実行ファイルが隠れていた場合、ストレージ内すべてのファイルが暗号化される危険性さえあります。

例えば Virlock というマルウェアは、暗号化したファイル自身を「感染源」にすることができるゾンビのようなランサムウェア(実際の挙動はむしろ寄生虫に近いです)なので、上記のような「クラウド内すべてが暗号化される悪夢」が現実になる可能性は高いでしょう。

なお Virlock の挙動に関しては、海外のクラウドセキュリティベンダーの Netskope が Box を使って検証しています。
下記の記事の「Demonstration」の項に詳細が記載されています。
https://www.netskope.com/blog/cloud-malware-fan-virlock-ransomware/


その3. 同じクラウドなら、クラウドバックアップサービスもダメなのでは?

 

一言で「クラウド」と言っても、仕組みが違います。
一般的な「クラウドバックアップサービス」であれば、暗号化はされません。
クラウドストレージが暗号化されて、クラウドバックアップサービスが暗号化されない理由は、主に下記です。

1. ユーザがクラウド内データの書き込み権限を持たないため

クラウドストレージは、当然ですが、ユーザがファイルにアクセスをし、編集をすることが可能です。ランサムウェアはこのユーザ権限を奪取し、ファイルを暗号化していきます。

一方、クラウドバックアップサービスのクラウド内のデータは、ユーザがアクセスすることができません(復元は無論可能ですが、クラウド上でデータを編集・加工することはできません。書き込み権限はありません)。

 

2. クラウド内でランサムウェア実行ファイルが活動できないため

バックアップされるデータは、クラウド内においても(大抵は)圧縮・暗号化が施されています。いわば、粉々に砕かれた状態でクラウド上に保存されています(仮死状態になっているとお考えいただければ良いかと思います)。

さらに保存先のファイルシステムは、通常ランサムウェアがターゲットとしている OS(Windows、たまに Mac)とは異なります。

 

そのため、ランサムウェア実行ファイルをバックアップしてしまったとしても、クラウド内のデータまで暗号化される、ということは防げるわけです。


まとめ 適材適所で快適なクラウド利用を

 

クラウドストレージは便利です。BackStore チームも使ってます。

ですが、これらはあくまで「作業効率化」「ファイル共有」のためのサービスであって、ファイルを「保護」するためのものではないことに留意すべきです。
一方 BackStore は「データ保護・管理」に主軸を置いたクラウドサービスです。

ストレージのように共同編集をする便利機能はありません。ですが、クラウド内のデータは暗号化されません。

 

過去の世代の復元

もちろん開発元などに問い合わせる必要なく、数クリックで完了します。例えば営業部隊しかいない A 事業所がランサムウェアに感染しても、復元したいデータを Web かクライアントソフトから選択するだけで、すぐに復元できます。IT 知識はいりません。

 

自動で細かくバックアップ

また、バックアップ対象のデータは自動的にクラウドへバックアップされるため、従業員の操作は一切不要です。
最短 1 分ごとのバックアップが可能なため、「いざ復元しようとしたら一週間前のデータしかない」という事態を防ぎます。

 

ログでランサムウェアを追跡

さらに、バックアップしたデータは細かくログを残しています。全文検索も可能なため、いつ、どの筐体にあやしいファイルが侵入したのかを探ることができます。

 

多様な保護領域で柔軟な業務復旧を

また保護するデータの種類も多様です。ファイルだけでなく、OS の設定ファイルやアプリケーション設定、メーラーなども細かくバックアップできます。新しい機器の用意ができたら、1 から設定しなおすことなく、すぐに業務を始められます。

仮想サーバであれば、仮想サーバ丸ごとの復元も、ファイルごとの復元も両方可能なため、柔軟な業務復旧プランを立てることができます。

 

お問い合わせ

今なら 30日間無料トライアルも可能です。
ぜひお気軽にお問い合わせください。

お問い合わせフォームはこちら

BackStore HP はこちら

Facebooktwitter

世界150ヶ国で被害「WannaCry」の脅威の背景と対策

 

ランサムウェア「WannaCry」の被害が止まりません。

ファイルを暗号化し、復号する代わりに金銭を要求する「ランサムウェア」の攻撃自体は新しくありません。一昨年あたりから主要なサイバー攻撃として認知されてきました。ですが、ここまで大規模な攻撃というのは例がありません。

攻撃開始から数日経ち、ある程度下火になっているとはいえ、まだ油断は禁物です。また、第二、第三の攻撃を行わないとも限りません。

その1. 今回の被害

現在、150ヶ国で 30万件の被害が出ていると言われています。

日本でも日立製作所や JR 東日本、東急電鉄をはじめとし、600ヶ所 2000台のパソコンでの被害が確認されています。

イギリスでは国民保険サービスが感染し、61ヶ所の医療施設が影響を受け、治療や手術などを中止せざるをえなくなりました。米国では運輸大手のフェデックスが被害にあい、またフランスではルノーが一部操業を停止しました。スペインでは通信大手のテレフォニカ、ドイツではドイツ鉄道が被害にあっています。ロシアでは内務省のコンピュータ 1,000台が感染しました。

今後、さらに被害が拡大する可能性も懸念されています。

その2. 被害が拡大する背景

今回のランサムウェア攻撃は、Windows SMBv1 の脆弱性をついたものです。LAN 内に感染した端末があると、LAN を経由して脆弱性を持った端末を次々に暗号化していきます。この「感染力の高さ」のために、ここまで被害が拡大したと言われています。

対策としては、「修正パッチの適応」「LAN 攻撃の停止」しかありません。

なお、Windows10 についてはこの脆弱性はありません。
また、Microsoft のサポートが終了している 2003 サーバなどについても、無料の修正パッチが公開されています。

その3. 攻撃の背景

発端は、米国家安全保障局が隠し持っていた SMBv1 の脆弱性をハッカー集団 Shadow Brokers が盗み、今年4月に公開したことでした。

Microsoft は、4月に公開される前、3月14日にはすでに修正パッチを公開していました。ですが、特に企業などでは、即時適応は容易ではありません。稼働しているシステムなどへの影響を検証する必要があるからです。結果、この「タイムラグ」をランサムウェアに利用されてしまいました。

なお、攻撃主体がどこであるかはわかっていません。ロイター通信によると、ランサムウェアのコードが過去に北朝鮮が用いたものと関連性があるのではないか、という指摘があるということです(参考記事)。

その4. 攻撃されないためには

今回の攻撃に限定して言えば、「修正パッチを適応する」です。これはマルウェアに感染しないための大原則の1つ「OS やセキュリティソフトなどを常に最新に保つ」に当てはまるものです。

ですがこれは「今回の攻撃に限ったこと」です。ランサムウェアはこの「WannaCry」だけではありません。Mac PC を狙ったもの、Android を狙ったものもあります。さらにはセキュリティソフトの「ふるまい検知」を回避する仕組みを持ったランサムウェアなど、多岐にわたります。

セキュリティソフトを導入し、そのバージョンを常に最新に保つことは必須です。ですが、それで100% 防げるわけではありません。上記のようにランサムウェアの攻撃方法は多岐にわたります。また収益性が高いことから、常に新たな手法を模索し、改善しています。

実際、今回もセキュリティソフトを入れているはずの大企業や各国政府機関で被害が出ています。

その5. では感染したらどうするのか

身代金を払ってはいけません。FBI も身代金の支払いは推奨していません。
まず、データが戻る確証はありません。次に、「優良顧客」とみなされ、第二、第三の被害を誘発する危険性があります。最後に、その身代金がランサムウェア「市場」全体の活性化につながってしまいます。

身代金を支払わずにデータを復旧するためには、適切な場所にバックアップをするしかありません。

その6. 適切なバックアップとは

・バックアップする場所

同筐体内へのバックアップや、HDD、ファイルサーバへのバックアップは「不適切」です。
今回の攻撃に限らず、多くのランサムウェアは物理的に接続されている筐体や、同一LAN上にある筐体のデータも暗号化します。

必ずクラウドか、ファイルシステムが特殊なバックアップアプライアンスサーバへバックアップすることが求められます。

・バックアップするもの

前述したように、AndroidMac を狙ったランサムウェアも登場しています。また、感染した端末と同一 LAN 上にある場合、サーバのランサムウェア対策も必須です。パソコンだけ、あるいはサーバだけでなく、すべての機器が適切にバックアップされているか確認する必要があります。

筐体だけでなく、その中の何のデータを / どのようにバックアップするかも考える必要があります。パソコンであれば、ファイルだけでいいのか、システム設定情報なども必要なのか、必要な場合ちゃんと取れているのかを検討・確認しましょう。

・復元できるか

迅速な復元が出来なくては、意味がありません。ランサムウェアは時と場所を選びません。出張中の社員が感染した、担当者が休みなのに社内すべてが感染した場合も想定した復元プランが望ましいです。

その7. BackStore で何ができるか

BackStore はクラウドバックアップのため、ランサムウェアの暗号化対象にはなりません。

またエンドポイント向けプラン( BackStore by inSync )では、スマートフォンやパソコン、クラウドアプリ内のデータまですべてをバックアップできます。システム情報の取得も可能です。

サーバ向けプラン(BackStore by Phoenix )では、仮想や物理サーバ、SQL サーバのバックアップが可能です。仮想サーバは ESXi をイメージでバックアップするため、復元も容易です。

さらに BackStore by inSync では、バックアップしたデータの「不穏なふるまい」を検知します。例えばランサムウェアに感染し、大量にファイルが暗号化されるなどの通常とは異なる動きを検知し、アラートを出すことが可能です。

また、BackStore すべてのサービスで「迅速な復元」が可能です。
どのサービスも、ユーザ自身が自分で復元できるほど操作が容易です。また、管理者による遠隔復元も可能なため、東京本社にいながら沖縄支社のランサムウェア感染に対応できます。

BackStore 製品ページ:https://www.backstore.jp/

BackStore by inSync / Phoenix ページ:https://backstore.jp/bs-by-druva.html

Facebooktwitter

e-discovery | 日本企業も対応が求められるデータガバナンスとは

こんにちは、BackStore です。

「e-discovery」について、耳にしたことがあるでしょうか。
これはアメリカにおいて訴訟の際に義務付けられている「電子情報開示手続き」を指します。アメリカの法律なら関係ない‥と思われますが、日本企業にも決して無縁な話ではありません。


1. なぜ日本企業にも影響があるのか

e-discovery は、反トラスト法などの訴訟の際に重要になります。日本でいう独占禁止法に当たる反トラスト法は、アメリカでビジネスをする会社や、アメリカの企業と取引をする会社、ひいてはドル取引をする会社など全てが対象になります。アメリカに拠点がない会社も、無論対象になります。

e-discovery は訴訟の前に行われるものですが、ここで十分な情報が出せないと、情報隠匿とみなされる可能性があります。罰金が高額になったり、場合によっては禁固刑を言い渡される可能性もあります。実際、2011年には矢崎総業の幹部 4人が禁固刑の判決を受けています(参考:Business Journal 2015/09/15


2. 反トラスト法について

この反トラスト法ですが、多くの日本企業やアジア企業が多額の罰金を支払っています。
2014年時点では、罰金額トップ20のうち、半分以上の 11社がアジア企業でした。そのうち、6社が日本企業です。米国の企業は 2社のみでした。
なお、2位は矢崎工業の 4億7000万ドル、3位はブリヂストンの 4億2500万ドルです。

その他にも、2016年には西川ゴム工業が 134億円の罰金を支払っています(参考:企業法務ナビ2016/07/26)。数え始めればきりがありません。一時期は自動車部品会社が多く上がっていましたが、無論反トラスト法の対象になるのは、それらの業種だけではありません。

なお反トラスト法は「早く訴えた方が有利」となっています。最初に訴えを起こした側に減免措置が適応され有利になるため、競合他社を訴えるケースが多くあります。しかも、高確率で競合の機密情報が入手できたり、相手に高額な罰金を課すことができるため、結果、芋づる式にどんどん訴訟が増えていく傾向にあります。

参考:https://www.jetro.go.jp/ext_images/world/n_america/us/antitrust/pdf/seminar_20140310.pdf


3. e-discovery とは

本題の e-discovery に戻ります。

e-discovery は、「訴訟に関連のある電子データ全てを提出」することです。
ここで従業員がデータを削除したり改ざんした場合、禁固刑や通常以上の罰金が課せられる可能性があります。

10年前であれば、企業のデータはサーバに格納されていたため、そこまで手間ではありませんでした。ですが、現在はパソコンやスマートフォン、クラウドアプリ、あるいは外部記憶装置などあらゆるところにデータが分散しています。これを従業員が改ざんしないように広く社内通知し、正しく収集し、指定された形式で提出しなくてはいけません。場合によっては過去数十年分のデータを要求されることもあります。


4. e-discovery のステップ

その1. 情報管理・識別

対象となるデータを適切に管理します。電子開示要求の前、通常業務中から適切に管理しておく必要があります。管理者の把握できない文書の保存やアーカイブ、廃棄サイクルがある場合、これ以降のステップが非常に難しくなる可能性があります。

また、対象となるデータが保存されている機器の特定も含まれます。こちらも、通常業務中から社内機器を正しく管理する必要があります。

その2. 収集・保全

対象のデータを収集します。繰り返しになりますが、訴訟が起きたあとは、データを変更したり削除してはいけません。例えばメールやファイルの自動削除機能などがある場合、これは必ず止められなくてはいけません。

従業員のパソコンやスマートフォンにのみ保管されているデータがある場合、機器を回収し、データを集める必要があります。データ量や対象機器の台数にもよりますが、業務が長い間停止するほか、人的コストや作業費がかかる可能性があります。

その3.  加工・審査・分析

専用ツールを用いて、収集したデータを適切なフォーマットへ変換します。その後、望まれる形になっているかを弁護士などとともに確認します。

その4. レポート作成・提出

適切な形のレポートに生成し、提出します。


5. 適切な e-discovery を実現するために

いつ突然訴訟が起きるかわかりません。日頃から適切なデータ管理を行うことが大切です。また適切なデータ管理は e-discovery だけでなく、コンプライアンス遵守対策などにもつながります。

BackStore by Druva は、上記のステップ1と2を行います。さらに3以降のステップに必要な e-discovery ツールとも互換性があります。

・収集

BackStore by Druva のバックアップ対象は、パソコンやスマートフォン、クラウドアプリなど多岐にわたります。そのため、様々な機器に散らばったデータをクラウドへ集約することが可能です。

・保全

「収集」だけでなく、「保全」も可能です。 e-discovery (電子情報開示要求)の必要が出た際には、特定のユーザ(あるいはすべてのユーザ)のすべてのバックアップデータを無期限に保存することができます。

クラウド上のデータはユーザが改ざんしたり消去することができないため、高い信頼性を確保することができます。

・その先のステップも見据えて

また加工や分析を行う e-discovery ツールとの互換性があります。そのため、機器の回収やデータのダウンロードなど煩雑な手間を行わなくても簡単に電子情報開示要求をクリアすることが可能です。

高額な電子情報開示ツールを用いずに、日頃の BCP 対策やランサムウェア対策と合わせた対策が可能です。

詳しくはこちらをご確認ください。
https://backstore.jp/bs-by-druva.html

 

Facebooktwitter

【今更聞けない】なんでクラウドにバックアップを取るの?〜クラウドバックアップに向く企業・向かない企業〜

こんにちは、BackStore です。

厳しい寒波がなかなか落ち着きませんが、いかがお過ごしでしょうか。

今回は、「なんでクラウドにバックアップを取る必要があるの?」についてです。

 

blog-why-cloud-backup

 

 

なお、クラウドバックアップについては、その必要性と同じくらい、「ストレージをバックアップ代わりにできないの?」という疑問が投げかけられます(経験上)。
そちらについては、このブログの2016年8月25日「【今更聞けない】クラウドストレージがバックアップとして使用できない理由5つ」をご確認ください。

 


その1. どういう背景でクラウドにバックアップを取るの?

 

バックアップであれば、当然安価な NAS を購入した方が安く済むわけです。では、なぜ多くの企業がクラウドにバックアップを取るのでしょうか。会社によって理由は様々ですが、主なものは下記の5つです。

・ランサムウェア対策
・BCP 対策
・管理、運用の手間削減
・拡張性の確保

各項目については、その5で詳しく記述します。


その2. クラウドバックアップはどういうところに特に向いてるの?

 

・データを絶対に消失させたくない
・持ち出しの多い機器もバックアップしたい
・バックアップ専任担当者がいない

社内バックアップは、後述するようにランサムウェアや災害、バックアップ機器の故障などからデータを守れません(自社でバックアップアプライアンスサーバを構築し、データセンター並みの設備を備えている会社はまた別です)。

また、例えば営業がパソコンをバックアップするために一々社外から VPN をつないで社内サーバへバックアップを取ることは、業務の中断すなわち生産性の低下につながります。

そもそも、すべての営業が定期的にちゃんと VPN につないでバックアップする、ということ自体、考えにくいでしょう。だからと言って HDD に手動バックアップでは、継続性は確保できません。さらにその HDD を社外へ持って行った際に盗難・紛失が起きたら、ただバックアップデータを失うだけでなく、情報流出につながりかねません。

専任担当者がいない状況で、バックアップ機器の運用や入れ替え、拡張、保守を行うのは手間です。本来の業務に手が回らなくなる可能性がありますし、人件費も嵩みます。

上記のような会社には、特にクラウドバックアップが向いていると言えるでしょう。


その3.クラウドバックアップが向かない会社は?

 

・データを外に出せない
・データが消えても良いので、コストを抑えたい

上記の会社には向きません。プライベート構築か、NAS などへのバックアップが望ましいです。


その4. クラウドバックアップにデメリットはある?

 

クラウドバックアップすべてに共通のデメリットは、特にありません。
ですが、サービスによっては下記のデメリットがあります。

・セキュリティ不安
・ストレージコスト
・帯域の圧迫
・機器への負荷

 

・セキュリティ不安

これを払拭するためには、そのデータが保管されるデータセンターは信頼性が高いか、サービス側でデータと通信を自動で暗号化するか、データへアクセスできるのが誰か、このあたりが明確になっている必要があります。

よく「クラウドは流出する!」と不安になる企業様もいらっしゃいますが、すべてのクラウドにそういう危険があるわけではありませんし、社内においておけば絶対安心というわけでもありません。なお、クラウドバックアップのセキュリティ及び BackStore のセキュリティについては、このブログの2016年10月13日「【クラウドへのバックアップって安全?】バックアップ編」をご確認ください。

 

・ストレージコスト

ハイレベルな重複排除機能を用いておらず、かつストレージ容量での課金の場合、必要以上に費用がかかる可能性があります。この状況を回避するためには、どのような重複排除機能を搭載しているか、どこの容量で課金されるかを確認する必要があります。
なお、BackStore はブロック単位重複排除を搭載してはおりますが、バックアップ対象に選択したファイルの容量に準じてプランを決定します。

 

・帯域の圧迫

遠隔地のクラウドへデータを転送するため、帯域の圧迫は大きな懸念となります。その場合、上記と同じく、どのような重複排除を行うか、設定で制限することは可能かを確認する必要があります。

なお、BackStore は前述した通りブロック単位重複排除で、クラウドへ転送する容量を最低限にしています。また、バックアップに使用する帯域の制限も可能です。

 

・機器への負荷

バックアップを使用していると、機器が重くなって業務に支障をきたす…ということがあります。ユーザのパソコンやサーバの生産性を下げるバックアップは、推奨されるべきではありません。生産性が下がったことによる機会損失などは無論です。加えて、特にパソコンの場合、こういうバックアップはユーザがオフにしてしまい、結局バックアップが取れていなかった、ということがあります。

事前にテストを行い、実際の運用と同じように試用してみるのが良いでしょう。


その5. クラウドバックアップ導入の背景詳細

 

<ランサムウェア対策>

昨年大流行し、今年も衰える気配のないランサムウェア対策には、NAS や HDD、ファイルサーバは不適切です。

ランサムウェアは、感染した筐体と物理的に接続された、あるいは同一ネットワーク上にある筐体のデータ全てを暗号化します。そのため、NAS などにとっていたバックアップデータもすべて暗号化されてしまうのです。

クラウドやバックアップアプライアンスサーバであれば、ランサムウェアがアクセス権限を奪取することができないため、暗号化されることはありません。

ランサムウェア対策については、合わせて BackStore HP 内の「ランサムウェア対策」ページをご参照ください。

 

<BCP 対策>

災害やパンデミックなど不測の事態に備えるためには、「社外の強固なデータセンター」に構築され、かつ「必要であればどこからでもアクセスできる」クラウド環境が最適です。

BCP 対策というと、よく「このビルが倒壊するほどの地震があったら、業務継続どころではない」とおっしゃる企業様もいらっしゃいます。ですが、 NAS やファイルサーバが壊れるためにビルが倒壊する必要はありません。強い揺れや停電、スプリンクラー誤作動なども故障の原因となります。

BCP 対策のためには、特に担当者様が出社できない場合の復元シナリオなどを策定する必要があります。

 

<管理、運用の手間削減>

クラウドバックアップなら、機器の管理や運用の手間は必要ありません。たいていのクラウドサービスには Web 管理コンソールがありますので、各機器のバックアップ状況も、一括で管理・閲覧できます。わざわざ現場に出向く必要はほとんどありません。

データセンターを契約して定期的にメンテナンスを行ったり、社内に置いてサーバのための環境を整えたり、社員がちゃんと各々の HDD を管理しているかを確認する作業は全て不要になります。

 

<拡張性の確保>

企業のデータは日々増えていきます。特に成長著しい企業では、バックアップデータもすぐに膨大な数に上ってしまう可能性があります。クラウドバックアップであれば、ベンダーに連絡するだけで増量が完了します。管理者が手を煩わせる必要はほとんどありません。


まとめ

以上のように、クラウドバックアップは様々なリスクからデータを守り、バックアップ業務を効率化し、人的コストを軽減します。

ですが、そのメリットを感じない企業様には、クラウドバックアップは向きません。また上記に当てはまるとしても、多数あるクラウドバックアップの中で最適なサービスはそれぞれに異なります。

Facebooktwitter

【ランサムウェア】なぜこんなに流行るのか?

backstore-logo-blue-big

 

 

こんにちは、BackStore チームです。

早くも2016年が終わろうとしていますが、いかがおすごしでしょうか。

さて 2016 年はいろいろなものが流行りましたが、やはり情報セキュリティの世界でいえば、「ランサムウェア」が一番でしょう。

その1. 流行の背景

このランサムウェア、なぜこんなに流行ったのでしょうか。様々な要因がありますが、一言で言えば、簡単に儲かるからです。

簡単といっても、やはり「暗号化」「感染」などの言葉から推し量るに、高い IT の知識が必要なのでは‥?と思われますが、実際はそんなことはないのです。ランサムウェアは、ヤミ市場で買うことができるからです。

これは Ransomware as a Service (RaaS)と呼ばれます。ランサムウェアを開発した人が、そのウィルスを販売します。「欲しい!」と思った人がこれを購入し、スパムメールなどでばら撒きます。そしてそこから得た収益の一部は、開発者が得ることができます。

つまりコードなんて知らなくても、ウィルスを購入するだけでランサムウェア攻撃を実行することができるのです。そしてコードを知っている人は、よりたくさん儲けることができます。ランサムウェアを1つ作れば、複数人・複数グループがばらまいてくれるからです。

さらに、質の高いランサムウェアを作成すればするほど皆に買ってもらえるため、開発者は頑張って開発します。そして頑張って開発された質の高いランサムウェアを使えば儲けられるため、たくさんの犯罪グループがそれを購入します‥という、ユーザにとってはまさに負のサイクルになっているわけです。

その2. 流行を食い止めるために

さて、このサイクルを止めるために、無辜の市民ができることは何でしょうか。

それは「ランサムウェアに感染しても身代金を支払わない」ことです。
ランサムウェアを開発しても、あるいはバラまいても、収益がないとわかれば自然と衰退していくでしょう。

身代金を支払わないためには、適切なバックアップを行うことです。
ランサムウェアは上記のような「活発な市場」を持つため、次々に新しいものや改善されたものが出てきます。セキュリティソフトで100%防ぐことはできません。また、仮にセキュリティソフトが「怪しい」と思っても、人間がそれを許可してしまえば終わりです。

ランサムウェアに身代金を支払わないためには、下記が欠かせません。

・クラウドやアプライアンスサーバへバックアップする

・複数世代保存する

 

2017年はランサムウェアを流行させないためにも、上記を考慮の上、自社と守りたいデータに最適なバックアップをご検討ください。

パソコン・サーバ・NAS を東京・沖縄へバックアップ→ BackStore
AWS クラウドへのパソコンバックアップを500円から→ Backpulse

Facebooktwitter

【クラウドへのバックアップって安全?】データセンター編

こんにちは、BackStore です。

早くもハロウィン一色になってきましたが、いかがお過ごしでしょうか。

今回は「クラウドバックアップのセキュリティ」に関してです。
シリーズになる予定です。今回は特に「データセンター」についてお話しします。

次回以降はバックアップソフトウェアがどのような対策をしているのか?どのような対策を取るべきなのか?についてお話しします。


その1. クラウドとセキュリティ

その前に、「クラウドのセキュリティ」に触れたいと思います。

少し前まで「クラウド?難しそう‥」というイメージでしたが、今ではかなり身近になったかと思います。

個人的に Google や Dropbox、iCloud を使用している人も多いかと思います。
(上記は全てストレージですね、弊社にも Jector というストレージサービスがあります)

ですが、ビジネスで使うとなると、やはり気になるのは「セキュリティ」です。
「クラウドはなんとなく危険そうだから導入したくない!」
という会社もまだ多い印象です。
が、クラウドを使用することによって却ってセキュリティが高まることもありますし、何より管理面、運用面の効率化やコスト削減などプラスの面は否定できません。

正しく理解し、自社にはどのようなソリューションが適しているのかを見極めることが重要です。
なお、総務省がクラウドサービスを利用する際のセキュリティ対策についての情報を出しています。


その2. データセンターのレベル

データセンターもピンキリです。
データセンターの信用度レベルを表す指標として、国際的に使用されている Tier レベルがあります。それに加えて、地震大国日本として気になるのは、データセンターの PML(予想最大損失額)です。

2-1. ティア レベル

Tier レベルはアメリカの民間団体(Uptime Institute)が作成したものです。データセンターの信頼性を表す基準として最も有名なものです。
レベルは1から4まであり、数字が大きいほど信頼性が高いとされています。

ですが、アメリカで作成されたものであるため、日本の実情とは差異がある部分もあります。
そこで日本データセンター協会が内容を修正したものを出しています。
参照:データセンターファシリティスタンダードの概要

2-2. PML

その建物が被るであろう中で最大規模の地震が起きた場合、その建物の補修にいくらかかるかを図る値です。
補修にかかる金額 ÷ 新築した場合にかかる金額 でだします。
つまり、この値が多ければ多いほど、地震が起き場合に補修が必要 = ダメージが大きい となります。

ここで重要なのは、「その建物が被るであろう中で」という部分です。

これには、建物の建築年数や高さなども当然考慮されますが、「立地」も同時に大きく影響してきます。

なお、通常の建物の基準は10%以下です。

最後に

なお、BackStore で用いているデータセンターは、どこに出しても恥ずかしくないものとなっています。

BackStore は東京と沖縄へバックアップしますが、やはりこの場合心配なのは「東京のデータセンター、地震が起きた時に大丈夫か?」だと思います。
東京のデータセンターはティアレベル4、PML 0.2% です。

沖縄もそれに準ずるレベルのものを使用しています。
詳しくは HP にも公開しておりますので、ご確認ください。
参照:BackStore データセンター仕様書

パソコン・サーバ・NAS を東京・沖縄へバックアップ→ BackStore
AWS クラウドへのパソコンバックアップを500円から→ Backpulse

Facebooktwitter