ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソフトウェア
  3. バックアップ/アーカイブ
  4. Arcserve Backup
  5. ソリューション
  6. ランサムウェア対策
ここから本文です。

ランサムウェア対策を支援する

データ復旧の最終手段はバックアップ

マルウェアの一種「ランサムウェア」の脅威
ランサムウェアがマシンに感染、業務データやメールデータが暗号化され使用不能に。
暗号解除に「身代金」を要求 → 業務停止・機会損失が発生!

暗号化の解除は困難
データ復旧の最終手段はバックアップ

※ランサムウェアとは、感染したマシンやマシンからアクセス可能なデータを高度な暗号化等により使用不能にし、復旧と引き換えに身代金を要求する不正プログラムです。マシンや業務データが利用できなくなることで業務停止・データ損失が発生します。

業務データやメールデータは定期的にバックアップを
ウイルス感染だけでなく、災害/水害、ハードウェア故障、人的ミスなど、業務データが「利用できない」「損失する」リスクは多く存在します。企業経営への影響を最小化するためには、「バックアップ」が必要です。

知っておきたい!被害状況 (※2016年4月12日時点)

ランサムウェアに感染しやすいのは社員PCです。
  ・ 不正広告が掲載された正規Webにアクセスして感染
  ・ 業務を装ったメールの添付ファイルやWebからダウンロードしたファイルを開いてしまい感染
  ・ メール文中のURLへアクセスしてしまい感染
など、様々な感染ケースが挙げられています。

国内被害ケース:バックアップも含めて使用不能に

被害にあったデータを復旧するために、業務データやメールデータは定期的にバックアップしていても、
“被害を被りやすい場所”へバックアップデータを保管する方法はNGです!


  • バックアップの保存先が、感染マシンからディスクアクセスできる領域は危険です。
  • 保存したバックアップデータも暗号化されてしまうと、データ復旧さえできません。

日本国内ケースでの感染場所

  • PC内臓ディスク
  • PC外付けディスク/ストレージ
  • PCにUSB接続されたメモリ/ディスク
  • PCからCIFS/NFSマウント共有先
  • PCのネットワークドライブ
  • VSSスナップショット
↑VSSスナップショットを削除するランサムウェアの亜種も確認されています。

バックアップ方式に注意!

感染している可能性があるマシンのOSからアクセスできないディスクやテープへ保管する、バックアップ方式を検討します。

感染するマシンのOSからアクセスできるディスク へ保管した バックアップデータは、暗号化されてしまいます。


ファイルサーバの共有フォルダ(CIFS/NFSプロトコル) へ保管した バックアップデータは、暗号化されてしまいます。

Arcserve Backup のクライアントとサーバが 独自プロトコル で通信し、バックアップします。
感染の可能性があるマシンのOSからは、アクセスできないディスクやテープへ保管します。

対策:業務データとメールデータの定期的なバックアップ

バックアップソフトを使用し、業務データを定期的に世代管理バックアップし、
メールデータのバックアップを一定期間、保管します。

【 業務データの保護対策 】



利用者は重要な業務データを利用者PCに放置せず、ファイルサーバへ格納します。
ファイルサーバの業務データは、バックアップソフトで世代管理バックアップします。

【 メールデータの保護対策 】



利用者はメールデータを一定期間メールサーバに残す設定/運用を行います。
メールサーバのデータをバックアップソフトで一定期間バックアップ保管します。

対策:バックアップのポイント

バックデータが、データ復旧の最終手段!
ランサムウェア被害に対応できるバックアップ方式の検討が重要です。

バックアップの保存先は、感染マシンから認識できないデバイスへ

  • サーバ/クライアント型のバックアップソフト製品を使用してください
    感染マシンで認識できないデバイスへバックアップを転送でき、世代管理も可能です。
  • バックアップ保存先として、取り外し可能な(完全にオフライン状態にできる)テープメディアもご検討ください
    物理的に切り離すことで、アクセスできないようにします。

バックアップデータを世代管理し、感染前のデータにさかのぼれるようにする

感染前の状態が保護されており、その状態に復元できることがポイント

  • 直近データのバックアップだけでは、既に暗号化されているリスクがあります。
    世代管理によって、リスクを下げられます。
  • 感染前のバックアップデータから、被害にあった共有フォルダ内のデータや利用者PCの業務・メールデータのリカバリが可能です。

対策時における注意ポイント

業務データ単位やメールボックス単位で復旧できることが必須

  • 復旧が必要なのは“一部の社員の業務データとメールデータのみ”です。
  • ほかの社員は、最新の業務データ・メールを利用中であることに、注意しなければなりません。

PCの復旧における注意ポイント(小規模向け)

小規模事業者/システムでは、予算上の都合から社員PC内でデータ・メールを保持する傾向が、より強く散見されます。 (結果的に、悪意ある攻撃者がランサムウェアで狙いやすい状況です。)

注意が必要な復旧方法

Windows PCのCドライブ(OS)が壊れた場合に備えて、PCのシステムバックアップを運用
PCのHDDを丸ごと復旧してしまった…。

ランサムウェアはWeb閲覧などの感染時点から、暗号化キーの通信取得、データ暗号化処理へすぐに遷移するとは限らず、利用者による認知やセキュリティソフトによる検知までにタイムラグがあります。そのため、

  • システム領域のどこかに、ランサムウェアが潜伏している可能性があります。
    どの日(時点)にランサムウェアに感染していたかを判断するのは困難です。
  • ランサムウェアの潜伏有無が分からないため、どの日(時点)のバックアップからのPCのシステム復旧をすれば感染前に戻せるのか、判断できません。
    PC復旧後、潜伏していたランサムウェアが活動を開始、再度被害にあう症例もあります。

PCのクリアインストール、代替PC機を用意し、データを復旧した方が早く業務を再開できるケースもあります。

Arcserveで業務データやメールをバックアップし、世代管理・一定期間保管

  • ・ Windowsファイルサーバとメールサーバ(Exchange等)をバックアップし、世代管理・一定期間保管
  • ・ ファイル/フォルダ、メールボックス/メッセージ単位の復旧
  • ・ 保存用ストレージとして、ディスクだけでなく、テープ装置を利用可能
  • システム構成例

    • ファイルサーバとメールサーバをバックアップする構成例です。
    • バックアップ対象サーバのCPUが搭載されている物理CPUソケット数と同数の Arcserve UDP Premium Edition ライセンスが必要です。
    • バックアップサーバ上のデータをバックアップする場合は、バックアップサーバのCPUが搭載されている物理CPUソケット数と同数の Arcserve UDP Premium Edition ライセンスが加えて必要です。

    型番 品名 数量
    UL1570-H123-I Arcserve Unified Data Protection v6 Premium Edition – Socket (1年間保守付き) 2
    UL1570-102 Arcserve Unified Data Protection v6 MediaKit Full Edition 1
    • ファイルサーバおよびメールサーバのCPUが搭載されている物理CPUソケット数が、それぞれ1つの場合のライセンス構成例です。

    Arcserve Backup機能を利用した構成例(1)

    1. 一次バックアップ:ファイルサーバとメールサーバから、バックアップサーバ接続のテープ装置へ、直接、無停止バックアップ(フル/増分)
    2. テープ媒体をドライブからアンマウントして、オフライン状態で保管

    注意ポイント

    [1.一次バックアップ]は、定期的にフルバックアップが必要です。(運用例:休日フルバックアップ+平日増分バックアップなどの運用を行います。)
    業務データ量が多いと、処理に時間がかかります。

    Arcserve Backup機能を利用した構成例(2)

    1. 一次バックアップ:ファイルサーバとメールサーバからバックアップサーバのディスクへ無停止バックアップ(フル/増分)
    2. 二次次バックアップ:保存されたバックアップをテープ装置へバックアップ (フル/増分)※ステージング機能
    3. テープ媒体をドライブからアンマウントして、オフライン状態で保管

    注意ポイント

    [1.一次バックアップ]、[2.二次バックアップ]ともに、定期的にフルバックアップが必要です。(運用例:休日フルバックアップ+平日増分バックアップなどの運用を行います。)
    業務データ量が多いと、処理に時間がかかります。

    Arcserve UDP + Backup連携機能を利用した構成例(3)

    1. 一次バックアップ:ファイルサーバとメールサーバから UDP RPS のディスク領域へバックアップ(フル/増分)
      注意ポイント

      ファイル/メールサーバが感染した場合、CIFS経由でバックアップデータも暗号化されてしまう可能性があります。

    2. 二次バックアップ:二次バックアップ:Backup連携機能にて、保存されたフルバックアップを、テープ装置へバックアップ(フルのみ)
      注意ポイント

      バックアップ単位が毎回フルになりますので、業務データ量が多いと処理に時間がかかります。

    3. テープ媒体をドライブからアンマウントして、オフライン状態で保管

    まとめ

    ランサムウェア対策のバックアップはご相談ください

    ランサムウェア対策のバックアップについては、弊社営業までお問い合わせください。

    Arcserve製品について、詳しくは・・・
    • [Arcserve UDP] http://jpn.nec.com/backup/arcserveudp/
    • [Arcserve Backup] http://jpn.nec.com/backup/arcserve/

    • ランサム対策のバックアップにつきましては、お客様の環境、システム構成、運用要件などにより、可能なバックアップ・復旧の方法が異なります。実際の動作要件や復旧範囲・対応プラットフォームの確認も含め、事前に弊社営業までご相談ください。
    • 将来出現する可能性のある全ての未知の亜種に対して同一のバックアップ方式でデータ保護対策が十分であるとは限りません。新たなバックアップ・復旧の方式への変更が必要となる場合があります。

    資料ダウンロード

    DownLoad(PDF)

    ※ 会員登録(無料)が必要です。


    ページの先頭へ戻る