バックアップが標的になる時代
ランサムウェア攻撃の手法が年々巧妙化する中、攻撃者が最も力を入れているのが「バックアップの破壊」です。かつては、データを暗号化されても「バックアップから復旧すればいい」という考え方が一般的でしたが、現代のランサムウェアグループはその防御を無力化することを最優先課題としています。
実際、2024年の統計では、ランサムウェア被害を受けた組織の約70%がバックアップデータも同時に削除または暗号化されていたことが報告されています。攻撃者は侵入後、数週間から数ヶ月かけて環境を調査し、バックアップシステムの構成を把握してから攻撃を実行します。この現実を前に、私たちは「バックアップがあるから安心」という考え方を根本から見直す必要があります。
攻撃者のバックアップ破壊手法
認証情報の窃取
攻撃者がまず狙うのは、バックアップ管理者のアカウントです。特権アカウントを乗っ取ることで、正規の管理ツールを使ってバックアップを削除できるため、セキュリティ監視をすり抜けやすくなります。LDAPやActive Directory、バックアップソフトウェアの管理コンソールへのアクセス権限を取得すれば、あとは時間の問題です。
シャドウコピーの削除
Windowsのボリュームシャドウコピー(VSS)は、多くの組織がファイル復旧のために利用していますが、攻撃者はこれを最初に削除します。vssadmin delete shadows /all /quiet という単純なコマンド一つで、すべてのシャドウコピーが消去されてしまいます。この手法は、ほとんどすべてのランサムウェア亜種に組み込まれている標準的な戦術となっています。
バックアップAPIの悪用
クラウドベースのバックアップソリューションも安全ではありません。攻撃者はAPIキーや認証トークンを窃取し、クラウドストレージ上のバックアップを削除します。AWS S3、Azure Blob Storage、Google Cloud Storageなど、主要なクラウドプラットフォームのバックアップが標的になるケースが増加しています。
多層防御による実践的対策
イミュータブルバックアップの実装
最も効果的な対策の一つが、変更不可能(イミュータブル)なバックアップの実装です。一度書き込まれたデータは、管理者でさえ削除や変更ができない仕組みを作ることで、攻撃者による破壊を防ぎます。
多くのエンタープライズバックアップソリューション(Veeam、Commvault、Rubrикなど)は、イミュータブルストレージオプションを提供しています。AWS S3のObject Lockや、Azure Immutable Blobなど、クラウドサービスでもこの機能が利用可能です。重要なのは、保持期間を適切に設定し(最低14日間を推奨)、その期間中は誰もデータを削除できありませんうにすることです。
エアギャップバックアップの維持
ネットワークから物理的に切り離されたバックアップ、いわゆる「エアギャップバックアップ」は、デジタル攻撃から完全に保護されます。定期的に外部ストレージデバイス(テープドライブ、リムーバブルハードディスク)にバックアップを取得し、ネットワークから切り離して保管する運用を確立しましょう。
この方法は古典的に見えるかもしれませんが、高度な攻撃に対する最後の砦として今でも極めて有効です。週次または月次でのエアギャップバックアップを運用ルーチンに組み込むことを強く推奨します。
バックアップインフラのセグメンテーション
バックアップサーバーとストレージを本番環境から分離し、専用のネットワークセグメントに配置することで、攻撃者の横展開を阻止します。バックアップネットワークへのアクセスは、厳格なファイアウォールルールで制限し、多要素認証(MFA)を必須とします。
特権アクセスの管理
バックアップシステムの管理者権限は、Privileged Access Management(PAM)ソリューションで厳重に管理します。Just-In-Time(JIT)アクセスを採用し、必要な時だけ、必要な期間だけ権限を付与する仕組みを構築しましょう。すべての特権操作はログに記録し、異常なアクセスパターンをリアルタイムで検知できるようにします。
バックアップの定期テスト
バックアップが実際に機能するかを定期的にテストすることも重要です。月次または四半期ごとに、バックアップからのシステム復旧演習を実施し、Recovery Time Objective(RTO)とRecovery Point Objective(RPO)が満たせることを検証します。この演習を通じて、手順の不備や技術的な問題を事前に発見できます。
総合的なアプローチ
ランサムウェア対策は、単一の技術やツールで解決できる問題ではありません。イミュータブルストレージ、エアギャップバックアップ、ネットワークセグメンテーション、特権アクセス管理、そして定期的なテストを組み合わせた多層防御が不可欠です。
攻撃者は常に新しい手法を開発し続けています。私たちも同様に、防御策を継続的に進化させ、バックアップインフラを最後の砦として守り抜く必要があります。今日からでも、自組織のバックアップ戦略を見直し、攻撃者の一歩先を行く防御を実装していきましょう。