マルチ階層型バックアップ戦略でランサムウェアに対抗

ランサムウェアは最も成長著しいサイバー犯罪の1つであり、経済的なインパクトは計り知れません。FBIによると2016年に通報された支払額は10億ドルに達する見込みですが、多くは通報されることもありません。ランサムウェア攻撃は、コンピューター・システムをマルウェアに感染させて保存ファイルを暗号化し、犯人が復元のためのキーと引き換えに身代金を要求するものです。身代金の支払は推奨されません。攻撃を助長するだけでなく、多くの組織では身代金を支払ってもすべてのデータを回復できたわけではありません。それよりも、堅牢なデータ保護システムを構築する方がはるかに優れたソリューションです。

ランサムウェアが大学を攻撃

先日、サイバー攻撃の標的となったアメリカの某有名大学の例です。攻撃は綿密に計画されたものでした。全面攻撃が開始される1週間前に、詐欺メールやその他の戦術によってトロイの木馬型マルウェアが送り込まれました。マルウェアはWindowsのデフォルトのフォーマットであるNTFSのファイルを攻撃し、物理サーバー、仮想サーバー、ノートPC、サム・ドライブなどのデバイスに拡散しました。攻撃は土曜日の夜に開始され、バックアップ・サーバーから始まって他のデバイスに拡散しました。ディスクに感染したマルウェアは、ファイルを暗号化して読み取れないようにしてしまいました。

被害を最小限にとどめるには迅速な検出が重要なカギ

攻撃はもっと早く発見できたかもしれませんが、新任のバックアップ管理者はマルウェアの検出方法や最初の兆候が見られたときにシステムをシャットダウンする方法を熟知していませんでした。管理者が読み取れないファイルに気付き、IT部門の責任者をつかまえてすべてのシステムをシャットダウンしてもらうまで、8時間にわたってマルウェアはファイルを暗号化することができました。その時点で、大学の仮想マシン (VM) も含め、120のサーバーの20,000ファイルがロックされていました。6桁という巨額の身代金が要求されました。しかし、データを安全に復旧できるデータ保護方式をITチームが導入済みだったので、大学は身代金を支払わないという決定を下しました。

テープ・バックアップ層はデータ復旧の重要コンポーネント

大学のバックアップはディスク・ターゲットで開始しましたが、バックアップはNTFSに保存されたため、不正アクセスされてしまいました。幸いにも、ITチームはLTOテープ・ライブラリにもバックアップを作成していました。

ディスク上のバックアップ・コピーは暗号化されてしまいましたが、ファイルは攻撃開始前にテープに書き込まれたので、テープ層は影響を受けませんでした。感染したコピーがテープに書き込まれていたとしても、マルウェアが拡散することはありません。ITチームは、システムに全面的なスクラブをかけて、すべてをテープ・バックアップからリビルドすることを決めました。この作業には約2週間かかりました。

アーカイブ戦略が奏功

大学は、感染したディスクに直接システムをリビルドするのではなく、アーカイブ、つまりQuantum StorNextシステムLattusソリューションを用いてオブジェクト・ストレージ・ベースのプライベート・クラウドに作成したデータの重複コピーを使用しました。ITチームは、マルウェアがStorNext Lattusアーカイブに拡散していないことを確認しました。

Lattusはオブジェクト・ストレージ技術を利用して拡張性の高いアーカイブを提供します。この技術は、多数の異なるディスク・スピンドルにデータを分散させることによってデータを保護し、オプションで複数の場所に分散させることも可能です。ITチームは、クリーンになった元のサーバー・インフラストラクチャにインストールする前に、システムを復元するための安全なステージング領域としてLattusを使用しました。

復旧計画は損失を最小限に抑える

テープとLattus作業領域のコピーは、ITチームがすべてのバックアップ・データを復元してシステムをリビルドするのに必要なあらゆるものを提供しました。作成し直さなくてはならなかったデータは、一部のノートPCとUSBドライブに保存されていたバックアップ・システム外のファイル約600GBのみでした。

結論。ランサムウェア型サイバー攻撃は日常的に発生しており、完全に止めることは難しいかもしれませんが、テープを含む複数の種類のメディアにデータの複数のコピーを作成するというベストプラクティスのバックアップ戦略は、データの損失を最小限に抑えることができます。