ランサムウェア対策を考える [セキュリティ研究室]

日付:
yellow こんにちは!
 ナビゲータのEVEです。

 今週Xでつぶやきましたが、情報処理安全確保支援士の方向けにセキュリティに関するオンライン講習会があるそうです。近頃、ニュースで頻繁にセキュリティインシデントが発生し、世間的に非常に関心が高い時期です。知識的には、かなりのレベルにある方ばかりだと思いますが、新たな知識を得ることができるかもしれません。
 では、今週のランサムウェア被害について報告します。

[今週のランサムウェアニュース]

 ますは、アスクルアサヒビールのランサムウェア復旧状況について報告します。

【アスクル】
日付 状況
10月30日(木) 「RansomHouse」を名乗る攻撃者が犯行声明を出し、約1.1TBのデータ窃取を主張。
アスクルは声明を受け、情報流出の可能性を公表。
10月31日(金)〜11月1日(土) 100人体制で復旧作業を継続。
物流・受注システムの全面復旧にはなお時間を要する見込み。
取引先(無印良品、ロフト、ネスレ日本、そごう・西武など)にも影響が波及。
【アサヒビール】
日付 状況
10月下旬以降(現在) 出荷は段階的に回復しているが、全面復旧には至らず。
ネット注文は停止が続き、FAXや電話による暫定対応を継続。
物流の遅延や供給制約が残存。
  • 基幹システム:まだ全面復旧していない。
  • 製造・出荷:主要ブランドは再開済みだが、物流は制約あり。
  • 受注手段:ネット注文は停止中、FAX・電話で代替。
  • 情報流出:犯行グループが公開を示唆、調査継続中。

 アサヒビールは、感染してから1ヶ月経過しようとしてますが、まだ全面復旧していないようです。

[ランサムウェア攻撃への対策~]

 ここで、私が考えた、ランサムウェア対策について、報告させていただきます。
 では、まず最初に、ランサムウェアについて、あらためて、Copilotに解説をしてもらいましょう。

 ランサムウェア攻撃とは、コンピュータやサーバーに侵入してデータを暗号化し、その復号やデータ流出防止と引き換えに「身代金(Ransom)」を要求するサイバー攻撃のことです。近年は「二重恐喝型」が主流で、業務停止と情報公開の両面で企業を追い詰めます。

 ここで重要なのは、データとはいったい何を指しているのかと言うことです。実は、ここでのデータとは、各システムのOSが管理しているファイルを指しています。0と1を構成している、データそのモノを指してはおらず、その単位では、暗号化することはまずありません。それを前提として考えた場合、レコード単位のレプリケーションが有効です。情報を整理すると以下のような対策になります。

  • FWを入り口としたバックアップセグメントを構築します。
  • 本番環境のDBのレプリケーションサーバーをバックアップセグメントに配置します。
  • 本番環境のDBは、バックアップセグメントに配置したレプリケーションサーバーへ、レコード単位でレプリケーションを行います。

 簡単ですが、以上のようなセグメントを構築することにより、ランサムウェアをかなり高い確率で、防ぐことができます。
 ここで、注意すべき点は、レコード単位だと言うことです。レプリケーションでも物理同期をする方式もありますが、その場合、ランサムウェアもバックアップセグメントにコピーされてしまいます。
 また、セキュリティの分野ではもはや当然なことですが、FWを含めたバックアップセグメントの各システムは、ゼロトラストを基本として、セキュリティ・バイ・デザインにより設計されたシステムでなければなりません。
 以上のようなシステム構成にした上で、バックアップセグメントのデータをバックアップをとるのが、ランサムウェア対策として非常に有効です。
 机上の空論ではありますが、私の脳裏ではかなりの確率で、ランサムウェアが防げるといっています。

[ファイルをDBで管理する]

 以上が私からのランサムウェア攻撃に対する提言です。
 以上の内容だと、ファイルはどうするのとかいろいろ言われそうですが、実は、現在、データベースで、ほぼ全てのデータを保存することが可能です。Word、Excel、PDF等々・・・。だから、ファイルもDBで保存することをお勧めします。ただ、感染したファイルをアップロードした場合は、問題です。しかし、DBに格納されている状態では、発動しません。感染したランサムウェアをダウンロードすれば話は別ですが・・・?
 以上を考察すると、ランサムウェアの感染が社内で確認された場合、DBの使用を中止し、どんなランサムウェアなのか特定後、DBの中のランサムウェアに感染したファイル情報を閉鎖的なセグメントで駆除するというのが現実的でしょう?
 以上の状況から考えると、普通にファイルサーバーで管理するより、DBで管理する方がかなりセキュリティレベルが高いと言えます。

[あとがき]

 以上が私が考える、ランサムウェア対策です。やるもやらないのもあなた次第です。
 Xでつぶやきましたが、ランサムウェアに感染し、身代金を払った企業は感染企業全体の50%です。アサヒビールの状況を見れば分かりますが、身代金を払った方が、復旧させるより安いという経済合理性が主要因だと想像されます。その他の要因として、数的には多くはありませんが人命にかかわる場合など、複数の要因により多くの企業が身代金を支払っているのです。しかし、以上の対策をすることにより、計算はしていませんが、身代金を支払うよりも安く対応出来そうです。
 以上の対策をすることにより、ランサムウェア攻撃以外の対策にもなりそうです。なお、バックアップを取った場合、必ず、遠隔地で保管することを忘れないようにしてください。

 では、また!

コメント

コメントを投稿