ファイルや OS を暗号化し、身代金を要求するランサムウェアが広がっています。
ランサムウェアの感染を 100% 防ぐことはできません。
感染を防ぐ事前の対策はもちろん、感染した後の復旧対策が不可欠です。
ランサムウェア対策は、入り口対策と同様、出口対策となるバックアップの導入が不可欠です。
※ 日本語字幕付き
※ サービス開発元 Druva 社作成
セキュリティベンダーのトレンドマイクロ株式会社は、ランサムウェア出口対策としてDruva inSyncを全世界 5,000人の社員に導入しました。
※こちらの事例はサービス開発元Druva社の事例です
1世代しか保存できないシステム上で、ランサムウェアに暗号化されたデータをバックアップしてしまえば、健全なデータは失われます。また、ランサムウェア実行ファイルは潜伏期間が長く、気づかないうちにバックアップしてしまうことがあります。サンラムウェア実行ファイルを復元すると、再びファイルが暗号化されてしまいます。
暗号化される場所とは、「ユーザ権限でファイルを編集できる場所」です。ランサムウェアはユーザの書き込み権限を奪取し、ファイルを暗号化します。 具体的には、「感染する可能性のある機器と物理的に接続されている、あるいは同一 LAN 上にある機器です。Box などのクラウドストレージも例外ではありません。 バックアップ専用アプライアンスなど、通常の Windows や HDD などとは異なるファイルシステムでない限り、バックアップファイルも暗号化されてしまいます。
企業の重要なデータは、パソコンやクラウドアプリ、サーバなどあらゆる場所に格納されています。業務継続性を担保するには、その全てを保護できるサービスが適切です。
保存できる世代数に限りはありません。ランサムウェア実行ファイルが侵入したのが数週間前であっても、その時点でのファイルを復元することができます。
inSyncに保存されたファイルは暗号化されません。inSync内のファイルは、ユーザ権限でファイルを編集できません。ランサムウェア実行ファイルをバックアップし、クラウド上に保存したとしても、問題はありません。データは圧縮されたブロックレベルで保管されています。いわば細切れになり、凍結された状態でクラウド上に存在しているため、暗号化を実行することができません。
ファイルが暗号化され、ファイルの中身やファイル名が変更されると、通常では考えられない量のファイルがバックアップ対象となります。 このような通常とは異なる振る舞いを検知すると、inSyncは管理者へ自動でアラートを送付します。 ランサムウェアは LAN などを経由して組織中のパソコンやサーバを暗号化するため、早期に発見し、社内での広がりを食い止める必要があります。
ランサムウェア実行ファイルを特定したら、inSyncの管理コンソールからファイルを検索し、削除することができます。 遠隔地からも操作が可能なため、迅速な対応を行い、社内感染を食い止めることができます。