ランサムウェアから保護するためのバックアップと復元の計画

ランサムウェア攻撃では、データとシステムを意図的に暗号化または消去して、攻撃者に対する金銭の支払いを組織に強要します。 これらの攻撃では、攻撃者に金銭を支払うことなく復旧するために必要なデータ、バックアップ、重要なドキュメントが (組織が金銭を支払う可能性を高める手段として) 標的になります。

この記事では、攻撃の前に重要なビジネス システムを保護し、攻撃の最中に事業運営を迅速に復旧できるようにするために、何を行うべきかを説明します。

注意

ランサムウェアに対して準備することで、自然災害や WannaCry(Not)Petya といった急な攻撃に対する回復力も向上します。

ランサムウェアとは

ランサムウェアとは、ファイルやフォルダーを暗号化して、重要なデータやシステムへのアクセスを妨げる脅迫攻撃の一種です。 攻撃者はランサムウェアを使用して、復号化キーと引き換えに、または機密データを闇サイトやパブリック インターネットに公開しないことと引き換えに、通常は暗号通貨の形態で金銭を要求することで、被害者から金銭をゆすり取ります。

初期のランサムウェアでは、フィッシングやデバイス間で拡散するマルウェアが主に使用されていましたが、人間が操作するランサムウェアは、人間の攻撃オペレーターが主導するアクティブな攻撃者集団が (1 つのデバイスや一連のデバイスではなく) 組織内のすべてのシステムを標的にする状況で出現しました。 攻撃では次のことが行われます。

  • データを暗号化する
  • データを抜き取る
  • バックアップを破損する

ランサムウェアでは、一般的なシステムとセキュリティの構成ミスと脆弱性に関する攻撃者の知識を利用して、組織に侵入し、企業ネットワーク内を移動し、移動しながら環境とその弱点に適応します。

特定の日に実際にランサムウェアを実行する前に、まず数週間から数か月にわたってデータを抜き取るようにランサムウェアをステージングすることができます。

また、ランサムウェアでは、システム上のキーを維持しながら、データをゆっくりと暗号化することもできます。 キーは依然として使用可能であり、ユーザーはデータを使用できるため、ランサムウェアは見つからずに済みます。 しかし、バックアップのデータは暗号化されています。 すべてのデータが暗号化され、最新のバックアップのデータも暗号化されると、キーは削除され、データを読み取ることができなくなります。

実際の損害は、多くの場合、将来の悪意のあるアクティビティのためのバックドアがネットワークに残されたまま、攻撃によってファイルが抜き取られたときに発生します。このようなリスクは、身代金が支払われるかどうかにかかわらず持続します。 これらの攻撃は、事業運営に壊滅的な損害を与え、除去するのが困難である可能性があるため、将来の攻撃から保護するためには、敵対者を完全に排除する必要があります。 マルウェアの修復のみが必要だった初期の形態のランサムウェアとは異なり、人間が操作するランサムウェアは、最初の遭遇の後も事業運営に脅威を与え続ける可能性があります。

攻撃の影響

組織に対するランサムウェア攻撃の影響は、正確に定量化するのが困難です。 攻撃の範囲に応じて、次のような影響が考えられます。

  • データ アクセスの損失
  • 事業運営の中断
  • 財務上の損失
  • 知的財産権の盗難
  • 損なわれた顧客の信頼または落とされた評判
  • 法的経費

組織を保護する方法

ランサムウェアの犠牲にならないようにする最善の方法は、予防措置を実装し、攻撃者がシステムに侵入するために実行するすべての手順から組織を保護するツールを用意することです。

組織をクラウド サービスに移行することで、オンプレミスの露出を減らすことができます。 Microsoft では、ランサムウェア攻撃に対する Microsoft Azure の回復力を高め、ランサムウェア攻撃の手法を排除するのに役立つ、ネイティブなセキュリティ機能に投資しています。 ランサムウェアと脅迫の包括的なビューと組織を保護する方法については、 Human-Operated Ransomware Mitigation Project Plan (人間が操作するランサムウェアの軽減策プロジェクト計画) という PowerPoint プレゼンテーションの情報を使用してください。

何らかの時点でランサムウェア攻撃の犠牲になることを想定する必要があります。 データを保護し、身代金の支払いを避けるために実行できる最も重要な手順の 1 つは、ビジネス上重要な情報に関して信頼性の高いバックアップと復元の計画を立てることです。 ランサムウェア攻撃者はバックアップ アプリケーションやボリューム シャドウ コピーのようなオペレーティング システム機能の無力化に多大な投資を行っているため、悪意のある攻撃者からアクセスできないバックアップを作成することが極めて重要です。

Azure Backup

Azure Backup では、データの転送時と保存時の両方で、バックアップ環境にセキュリティが提供されます。 Azure Backup では、次のものをバックアップできます

  • オンプレミスのファイル、フォルダー、システム状態
  • Windows または Linux VM 全体
  • Azure Managed Disks
  • Azure Files 共有 (ストレージ アカウントに)
  • Azure VM で実行されている SQL Server データベース

バックアップ データは Azure ストレージに格納され、ゲスト (攻撃者) はバックアップ ストレージやそのコンテンツに直接アクセスできません。 仮想マシンのバックアップでは、バックアップ スナップショットの作成と保存は Azure のファブリックによって行われ、ゲスト (攻撃者) はアプリケーション整合性バックアップのワークロードを停止する以外のことに関与できません。 SQL と SAP HANA では、バックアップ拡張機能によって、特定の BLOB に書き込むための一時的なアクセス権が取得されます。 こうすることで、セキュリティが侵害された環境でも、攻撃者が既存のバックアップを改ざんしたり削除したりすることはできません。

Azure Backup には、Azure Backup に関連するイベントのアクションを表示および構成する組み込みの監視とアラートの機能が用意されています。 バックアップ レポートは、使用状況の追跡、バックアップと復元の監査、およびさまざまな細分性レベルでの主要な傾向の特定を行うための、ワンストップの宛先として機能します。 Azure Backup の監視およびレポート ツールを使用すると、承認されていない、疑わしい、または悪意のあるアクティビティが発生した場合に直ちにアラートを受け取ることができます。

有効なユーザーのみが各種操作を実行できるようにするためのチェックが追加されました。 これには、認証レイヤーの追加が含まれています。 重要な操作の認証レイヤーを追加する過程で、オンライン バックアップを変更する前にセキュリティ PIN を入力するように求められます。

Azure Backup に組み込まれているセキュリティ機能の詳細を参照してください。

バックアップの検証

バックアップの作成時および復元前に、バックアップが正常であることを確認します。 データを格納する Azure のストレージ エンティティである Recovery Services コンテナーを使用することをお勧めします。 データは通常、データのコピーであるか、仮想マシン (VM)、ワークロード、サーバー、ワークステーションのいずれかの構成情報です。 Recovery Services コンテナーを使用すると、IaaS VM (Linux または Windows) や Azure SQL データベースなどのさまざまな Azure サービスとオンプレミス資産のバックアップ データを保持できます。 Recovery Services コンテナーでは、簡単にバックアップ データを整理することができ、次のような機能が提供されます。

  • バックアップをセキュリティで保護し、運用およびバックアップ サーバーが侵害された場合でもデータを安全に回復できるようにする高度な機能。 詳細については、こちらを参照してください
  • 中央ポータルからのハイブリッド IT 環境 (Azure IaaS VM とオンプレミス資産) の監視。 詳細については、こちらを参照してください
  • バックアップと復元のアクセス権を定義済みのユーザー ロールのセットに制限する Azure ロールベースのアクセス制御 (Azure RBAC) との互換性。 Azure RBAC にはさまざまな組み込みロールがあり、Azure Backup には復旧ポイントを管理するための 3 つの組み込みロールがあります。 詳細については、こちらを参照してください
  • 悪意のあるアクターがバックアップを削除した場合 (またはバックアップ データが誤って削除された場合) でも有効な、論理的な削除の保護。 バックアップ データはさらに 14 日間保持されるので、データを失うことなくバックアップ項目を回復できます。 詳細については、こちらを参照してください
  • Azure VM をセカンダリ リージョン (Azure ペア リージョン) に復元できる、リージョンをまたがる復元。 レプリケートされたデータをいつでもセカンダリ リージョンに復元できます。 これにより、停止シナリオにおいて、(コンテナーの GRS 設定と異なり) Azure が障害を宣言するのを待たずに、監査コンプライアンスのためにセカンダリ リージョン データを復元できます。 詳細については、こちらを参照してください

注意

Azure Backup には 2 種類のコンテナーがあります。 Recovery Services コンテナーに加えて、Azure Backup でサポートされる新しいワークロードのデータを格納するバックアップ コンテナーもあります。

攻撃前の対処

既に説明したように、何らかの時点でランサムウェア攻撃の犠牲になることを想定する必要があります。 攻撃を受ける前にビジネス クリティカルなシステムを特定し、ベスト プラクティスを適用することで、できるだけ早く稼働状態に戻すことができます。

最も重要な項目を特定する

攻撃に対する計画を立てている間もランサムウェアから攻撃を受ける可能性があるため、最優先事項は、ユーザーにとって最も重要なビジネス クリティカルなシステムを特定し、それらのシステムで定期的なバックアップを実行し始めることです。

経験上、お客様にとって最も重要な 5 つのアプリケーションは、次のカテゴリに分類されます (優先順位はこのとおりです)。

  • ID システム - Active Directory、Azure AD Connect、AD ドメイン コントローラーなど、ユーザーがシステムにアクセスするために必要なもの
  • 人命 - 人間の生命をサポートするか、生命を危険にさらす可能性があるシステム (医療または生命維持システム、安全システム (救急、配送システム、信号機制御)、大型機械、化学/生物系、食品または個人用品の生産など)
  • 財務システム - 金融取引を処理し、ビジネス運用を維持するシステム (支払いシステムとそれに関連するデータベース、四半期報告用の財務システムなど)
  • 製品またはサービスの有効化 - ビジネス サービスを提供するため、または顧客が対価を払う物的生産物を生産/共有するために必要なシステム (工場制御システム、製品供給/配送システムなど)
  • セキュリティ (最小限) - 攻撃を監視し、最小限のセキュリティ サービスを提供するために必要なセキュリティ システムの優先順位も設定する必要があります。 これは、現在の攻撃 (または安易な便乗攻撃) によって復元されたシステムへのアクセスがすぐに取得 (または回復) されないようにすることに重点を置く必要があります

優先付けされたバックアップ リストが優先付けされた復元リストにもなります。 重要なシステムを特定し、定期的なバックアップを実行するようになったら、露出レベルを下げるための手順を実行します。

攻撃前に実行する手順

攻撃を受ける前に、これらのベスト プラクティスを適用してください。

タスク Detail
(上記の上位 5 つのカテゴリを使用して) 最初にオンラインに戻す必要がある重要なシステムを特定し、それらのシステムの定期的なバックアップの実行を直ちに開始します。 攻撃後にできるだけ早く稼働状態に戻すには、現在最も重要な項目を特定します。
組織をクラウドに移行します。

クラウドへの移行をサポートするため、Microsoft 統合サポート プランを購入するか、Microsoft パートナーと協力することを検討します。
自動バックアップとセルフサービス ロールバックを使用してクラウド サービスにデータを移動することで、オンプレミスの露出を減らします。 Microsoft Azure には、ビジネス クリティカルなシステムをバックアップし、バックアップを迅速に復元するための堅牢なツールのセットが用意されています。

Microsoft 統合サポートは、いつでも必要なときに役立つクラウド サービス サポート モデルです。 統合サポート:

必要に応じた問題解決と重大インシデントのエスカレーションを行う 24 時間 365 日対応の指定されたチームが提供されます

IT 環境の正常性監視を支援し、問題の発生を未然に防止するために積極的に取り組みます
ユーザー データを OneDrive や SharePoint などのクラウド ソリューションに移動して、バージョン管理とごみ箱の機能を利用します。

遅延と復旧コストを減らすため、ファイルを自分で回復する方法をユーザーに教育します。 たとえば、ユーザーの OneDrive ファイルがマルウェアに感染した場合、OneDrive 全体を以前の時刻に復元できます。

ユーザーが自分のファイルを復元できるようにする前に、Microsoft 365 Defender などの防御戦略を検討してください。
Microsoft クラウド内のユーザー データは、組み込みのセキュリティおよびデータ管理機能によって保護できます。

ユーザーに自分のファイルを復元する方法を教えるのは良いことですが、ユーザーが攻撃の実行に使用されたマルウェアを復元しないように注意する必要があります。 以下を実行する必要があります。

攻撃者が排除されたことを確信できるまで、ユーザーがファイルを復元しないようにする

ユーザーが一部のマルウェアを復元した場合の対策を用意しておく

Microsoft 365 Defender では、AI による自動アクションとプレイブックを使用して、影響を受ける資産をセキュリティで保護された状態に修復します。 Microsoft 365 Defender では、スイート製品の自動修復機能を活用して、インシデントに関連して影響を受けるすべての資産が可能な限り自動的に修復されるようにします。
Azure セキュリティ ベンチマークを実装します。 Azure セキュリティ ベンチマークは、NIST SP800-53 や CIS Controls v7.1 などの業界ベースのセキュリティ制御フレームワークに基づく Azure 独自のセキュリティ管理フレームワークです。 Azure と Azure サービスを構成してセキュリティ制御を実装する方法に関するガイダンスを組織に提供します。 「バックアップと回復」を参照してください。
ビジネス継続性/ディザスター リカバリー (BC/DR) 計画を定期的に実行します。

インシデント対応のシナリオをシミュレートします。 攻撃に対する準備として実行する演習は、優先順位が付けられたバックアップと復元の一覧に基づいて計画し、実施する必要があります。

「ゼロから回復」のシナリオを定期的にテストして、BC/DR で重要な業務をゼロ機能 (すべてのシステムの停止) からオンラインにすることができるようにします。
ランサムウェアまたは脅迫攻撃を自然災害と同じ重要性を持つものとして処理することで、ビジネス運営の迅速な回復を保証します。

帯域外での従業員と顧客とのコミュニケーション (すべてのメールとチャットが停止したと仮定) を含め、チーム間のプロセスと技術手順を検証する演習を実施します。
潜在的なリスクを特定し、予防的な制御とアクションによって調節する方法に対応するため、リスク登録の作成を検討します。 発生する可能性が高く、影響の大きいシナリオとして、ランサムウェアをリスク登録に追加します。 リスク登録は、リスクが発生する可能性とそのリスクが発生した場合のビジネスに対する重大度に基づいて、リスクに優先順位を付けるのに役立ちます。

Enterprise リスク管理 (ERM) の評価サイクルを使用して、緩和状態を追跡します。
すべての重要なビジネスシステムを定期なスケジュールでバックアップします (Active Directory などの重要な依存関係のバックアップを含む)。

バックアップが作成されたときに、バックアップが正常であることを確認します。
最後のバックアップまでデータを回復できます。
復元手順のドキュメント、CMDB、ネットワーク ダイアグラム、SolarWinds インスタンスなど、回復に必要なサポート ドキュメントおよびシステムを保護 (または印刷) します。 これらのリソースは、回復能力に影響を及ぼすため、攻撃者はこれらを意図的にターゲットにします。
サードパーティのサポート、特に脅威インテリジェンス プロバイダー、マルウェア対策ソリューション プロバイダー、マルウェア分析プロバイダーのサポートと連絡を取るための手順が明確に文書化されていることを確認します。 これらの手順を保護 (または印刷) します。 サードパーティの連絡窓口は、特定のランサムウェア バリアントに既知の弱点がある場合や、復号化ツールを入手できる場合に役立つことがあります。
バックアップと回復の戦略に次のものが含まれていることを確認します。

特定の時点のデータをバックアップする機能。

隔離されたオフライン (エアギャップ) の場所に格納されるバックアップの複数のコピー。

バックアップされた情報を取得して運用環境に配置する速度を決定する目標復旧時間。

運用環境/サンドボックスへのバックアップの迅速な復元。
バックアップは、組織が侵害された後の回復性のために不可欠です。 最大限の保護と可用性を実現するために次の 3-2-1 ルールを適用します: 3 つのコピー (オリジナルと 2 つのバックアップ)、2 種類のストレージ、1 つのオフサイトまたはコールド コピー。
意図的な消去と暗号化からバックアップを保護します。

オフラインまたはオフサイト ストレージ、不変ストレージ、あるいはその両方にバックアップを格納します。

オンライン バックアップの変更または消去を許可する前に、帯域外の手順 (MFA やセキュリティ PIN など) が必要です。

Azure Virtual Network 内にプライベート エンドポイントを作成し、Recovery Services コンテナーで安全にデータをバックアップおよび復元します。
攻撃者がアクセスできるバックアップは、ビジネス復旧に使用できなくなる可能性があります。

オフサイト ストレージにより、ネットワーク帯域幅を使用せずにバックアップ データを確実に転送できます。 Azure Backup では、ネットワーク帯域幅を使用せずに初期バックアップ データをオフラインで転送するオフライン バックアップがサポートされています。 これは、バックアップ データを物理記憶域装置にコピーするメカニズムを提供します。 その後、デバイスは近くの Azure データ センターに発送され、Recovery Services コンテナーにアップロードされます。

オンラインの不変ストレージ (Azure Blob など) を使用すると、ビジネス クリティカルなデータ オブジェクトを WORM (Write Once, Read Many) 状態で保存できます。 この状態では、ユーザーが指定した期間、データを消去および変更できなくなります。

多要素認証 (MFA) は、すべての管理者アカウントで必須にする必要があり、すべてのユーザーに強くお勧めします。 推奨される方法は、可能な限り SMS や音声ではなく認証アプリを使用することです。 Azure Backup を設定するときに、Azure portal で生成されたセキュリティ PIN を使用して MFA を有効にするように復旧サービスを構成できます。 これにより、復旧ポイントの更新や削除などの重要な操作を実行するためにセキュリティ PIN が生成されるようになります。
保護されたフォルダーを指定します。 承認されていないアプリケーションによってこれらのフォルダー内のデータが変更されることを難しくします。
アクセス許可を確認します。

ファイル共有、SharePoint、その他のソリューションに対する広範な書き込み/削除の権限を検出します。 広範とは、ビジネス クリティカルなデータに対して多数のユーザーが書き込み/削除の権限を持つことと定義されます。

ビジネス コラボレーションの要件を満たしながら、広範なアクセス許可を減らします。

監査と監視により、広範なアクセス許可が再び現れないようにします。
広範なアクセスがランサムウェア活動を可能にするリスクを削減します。
フィッシング詐欺から保護します。

セキュリティ意識向上トレーニングを定期的に実施して、ユーザーがフィッシング詐欺を特定し、侵害の最初のエントリ ポイントを生み出す可能性があるものをクリックしないようにします。

メールにセキュリティ フィルター制御を適用して、フィッシング詐欺が成功する可能性を検出し、最小化します。
攻撃者が組織に侵入するために使用する最も一般的な方法は、メールを使ったフィッシング詐欺です。 Exchange Online Protection (EOP) は、スパム、マルウェア、その他のメールの脅威から組織を保護するクラウドベースのフィルター処理サービスです。 EOP は、Exchange Online メールボックスを使用するすべての Microsoft 365 組織に含まれています。

メールのセキュリティ フィルター処理コントロールの例として、セーフ リンクがあります。 セーフ リンクは、メール フローでの受信メール メッセージの URL スキャンと書き換え、およびメール メッセージやその他の場所での URL とリンクのクリック時の検証を提供する Defender for Office 365 の機能です。 セーフ リンク スキャンは、EOP の受信メール メッセージの通常のスパムおよびマルウェア対策に加えて行われます。 セーフ リンク スキャンは、フィッシングやその他の攻撃で使用される悪意のあるリンクから組織を保護するのに役立ちます。

詳細については、フィッシング対策保護に関するページをご覧ください。

攻撃中の対処

攻撃を受けた場合は、優先付けされたバックアップ リストが優先付けされた復元リストになります。 復元する前に、バックアップが正常であることを確認します。 バックアップ内のマルウェアを検索できる場合があります。

攻撃中に実行する手順

攻撃中は、これらのベスト プラクティスを適用してください。

タスク Detail
攻撃の早い段階で、サードパーティのサポート、特に脅威インテリジェンス プロバイダー、マルウェア対策ソリューション プロバイダー、マルウェア分析プロバイダーのサポートと連絡を取ります。 これらの連絡窓口は、特定のランサムウェア バリアントに既知の弱点がある場合や、復号化ツールを入手できる場合に役立つことがあります。

Microsoft Detection and Response Team (DART) は、攻撃からの保護を支援します。 DART は世界中のお客様と連携し、攻撃が発生する前に攻撃に対する保護と強化を支援すると共に、攻撃が発生したときに調査して修復します。

Microsoft では、高速ランサムウェア復旧サービスも提供しています。 サービスは、Microsoft Global Compromise Recovery Security Practice (CRSP) によって排他的に提供されます。 ランサムウェア攻撃中のこのチームの焦点は、認証サービスを復元し、ランサムウェアの影響を抑制することです。

DART と CRSP は、Microsoft の業界ソリューション提供のセキュリティ サービス ラインの一部です。
お客様の地域または連邦政府の法執行機関に連絡します。 米国のお客様の場合は、FBI に連絡し、IC3 準拠の照会フォームを使用してランサムウェアの侵害を報告します。
環境からマルウェアまたはランサムウェアのペイロードを削除して拡散を止めるための手順を実行します。

疑いのあるすべてのコンピューターとデバイスで最新の完全なウイルス対策スキャンを実行し、ランサムウェアに関連付けられているペイロードを検出して削除します。

データを同期しているデバイス、またはマップされたネットワーク ドライブのターゲットをスキャンします。
Windows Defender または (以前のクライアントの場合は) Microsoft Security Essentials を使用できます。

ランサムウェアまたはマルウェアを削除するのに役立つ代替手段は、悪意のあるソフトウェアの削除ツール (MSRT) です。
最初にビジネス クリティカルなシステムを復元します。 復元する前に、必ずバックアップが正常であることをもう一度確認します。 この時点ですべてを復元する必要はありません。 復元リストの上位 5 つのビジネス クリティカルなシステムに重点を置きます。
オフライン バックアップがある場合は、使用している環境からランサムウェア ペイロード (マルウェア) を削除した後で、暗号化されたデータを復元できる可能性があります。 将来の攻撃を防ぐため、復元する前に、ランサムウェアまたはマルウェアがオフライン バックアップに含まれていないことを確認します。
感染していないことがわかっている安全な特定時点のバックアップ イメージを特定します。

Recovery Services コンテナーを使用する場合は、バックアップを復元する適切な時点を把握するため、インシデントのタイムラインを慎重に確認します。
将来の攻撃を防ぐため、復元する前に、バックアップをスキャンしてランサムウェアまたはマルウェアの有無を確認します。
完全なオペレーティング システムの復元には、データ復元のシナリオに加えて、セーフティ スキャナーなどのツールを使用します。 Microsoft Safety Scanner は、Windows コンピューターからマルウェアを検出して削除するように設計されたスキャン ツールです。 ダウンロードしてスキャンを実行するだけで、マルウェアを検出し、特定された脅威によって行われた変更を元に戻すことができます。
ウイルス対策またはエンドポイントでの検出と応答 (EDR) ソリューションが最新であることを確認します。 最新の更新プログラムも適用する必要があります。 Microsoft Defender for Endpoint などの EDR ソリューションをお勧めします。
ビジネス クリティカルなシステムが稼働状態になった後、他のシステムを復元します。

システムが復元されたら、テレメトリ データの収集を開始して、復元している項目について形成的な意思決定を行うことができます。
テレメトリ データは、マルウェアがシステムにまだ存在するかどうかを特定するのに役立ちます。

攻撃後またはシミュレーション

ランサムウェア攻撃またはインシデント対応シミュレーションの後で、次の手順を実行して、バックアップと復元の計画およびセキュリティ体制を改善します。

  1. プロセスが適切に機能しなかったときに得られた教訓 (およびプロセスを簡素化、高速化、または改善する機会) を特定します
  2. 最大の課題に対する根本原因分析を (人、プロセス、テクノロジを考慮しながら、ソリューションによって正しい問題を解決するのに十分な詳細レベルで) 実施します
  3. 元の侵害を調査して修復します (Microsoft Detection and Response Team (DART) に連絡してサポートを受けます)
  4. 得られた教訓と機会に基づいて、バックアップと復元の戦略を更新します (最初に最も大きな影響と最も迅速な実装手順に基づいて優先順位を付けます)

次のステップ

この記事では、ランサムウェアから保護するためにバックアップと復元の計画を改善する方法について説明しました。 ランサムウェア対策のデプロイに関するベスト プラクティスについては、「ランサムウェアや脅迫からの迅速な保護」を参照してください。

重要な業界情報:

Microsoft Azure:

Microsoft 365:

Microsoft 365 Defender:

Microsoft セキュリティ チームのブログ記事: