Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

バックアップは単に取っているだけでは意味がない

つぶやいてみた。

ランサム攻撃の脅威が増す中、バックアップテストが重要だとKrebs氏の記事に出ていました。

krebsonsecurity.com

ランサムウェア攻撃に関する事実上すべてのストーリーに関するコメントを閲覧すると、被害者の組織が適切なデータバックアップを持っていれば、強奪者への支払いを回避できたはずだという見方にほぼ確実に遭遇するでしょう。しかし、醜い真実は、被害者がデータのバックアップの観点からほぼすべてを正しく行ったとしても犠牲者がお金を払ってしまう理由がたくさんあるということです。

 

この話は、サイバー犯罪者が人質のためにデータを保持していることに対応して組織が何をするかについてではありません。これは、今日のトップランサムウェア犯罪グループのほとんどの間でベストプラクティスの1つになっています。むしろ、被害者が自分でバックアップからすべてを復元する手段を持っている場合でも、システムを復号化するために必要なキーに依然としてお金を払っているのはそのためです。

専門家によると、ランサムウェアのターゲットや保険会社がすでに信頼できるバックアップを持っている場合でも支払う最大の理由は、被害者の組織の誰も、このデータ復元プロセスにかかる時間を事前にテストする必要がないためです。

 

キタきつねの所感

「バックアップを取っているから大丈夫」とは言えないランサム被害(サイバー攻撃)が続いています。

ランサムオペレータは、企業側がどういったセキュリティ対策をしているかを、時間をかけて内部偵察した上で、最後に暗号化などの攻撃ツールを仕掛けてくるので、企業側のバックアップ戦略に「穴」があったのなら、その潜在的な脆弱点を厳しく突いてきています。

例えば攻撃者がネットワークにオンライン接続されたバックアップサーバー(NAS等)にアクセス出来てしまった場合、バックアップデータを”削除”あるいはバックアップデータ”も”暗号化するという攻撃手法を取ってきたとして、企業側はビジネスへの影響を最小限に食い止める事が出来るでしょうか

 

別拠点のバックアップサイトや、テープやブルーレィ媒体を使ったオフラインバックアップが取れている所は、最初の攻撃に対抗し、データ復旧作業にすぐに取り掛かれるかも知れません。

しかし、オンラインで接続しているバックアップサーバは、攻撃の対象となりやすく、バックアップデータは使えなくなってしまう可能性が高いという現実を、他のインシデントから学ばず、自社・自組織のインシデントが発生してから学ぶIT管理者は未だに多い様です。

また、バックアップテープ(オフライン)を利用している所も安心できないケースもあります。例えばテープ交換を毎日行っているのなら良いのですが、1週間分の差分イメージ保存を1本のテープで行っている場合、削除又は暗号化攻撃によって最悪1週間分のデータが利用できなくなる様な、想定外の事態が発生する可能性があるのです。

 

こうしたランサム攻撃による潜在リスクは従来から指摘されていたので、十分に想定している企業や組織も多いかと思います。

※想定外でしたら諸々早めに再検討した方が良いかと思います。

 

Krebs氏の記事で指摘されていた内容は、更に多くの企業が見落としているポイントだと思います。

5月初旬に米国コロニアル・パイプライン社がランサム被害を受けたケースですが、コロニアル・パイプライン社は「バックアップデータ」は持っていたにも関わらず、早い段階で交渉の上で「身代金」を支払い「復号ツール」をランサムオペレータ(DarkSide)から入手しています。

 

こうした判断に至った理由は何なのでしょうか?

 

そのヒントとなる例示が、記事にありました。

Emsisoftの最高技術責任者であるFabianWosarは、次のように述べています。「被害者は突然、インターネット経由で復元するデータが数ペタバイトあることに気付き、高速接続でも、これらすべてのバックアップファイルをダウンロードするのに3か月かかることに気付きました。多くのITチームは、データレートの観点から、復元にかか​​る時間をナプキンで計算することさえ実際には行っていません。」

 

コロニアル・パイプライン社は、いざ蓋を開けてみたら、「恐ろしく復旧時間がかかる」事に気づいてしまったのだと思います。

米国を支えるインフラ企業として、復旧を最短で行う為には、ランサムオペレータに身代金(勉強料)を支払ったとしても「復号ツール」が欲しかったのだろうと想像します。言い方を変えると時間をお金で買うという選択をしたとも言えます。

 

身代金をランサムオペレータ(犯罪者)側に支払う事は推奨できる事ではありませんが、企業の経営トップとしてはその判断に至るケースもあるのだと思います。

 

しかし、ギリギリで判断する立場に追い込まれる前に企業・組織側は「やるべき事」あります。それが、バックアップ戦略の見直しです。サイバー攻撃を受けた際のインシデントレスポンスプラン(事故対応計画)の見直しと言い換えても良いかも知れません。

 

多くの企業がインシデントレスポンスプランを既に策定しているかと思いますが、私が見てきたその多くは、東日本大震災を受けて・・といった災害をベースにしたシナリオは充実していますが、サイバー攻撃については内容が非常に薄い印象があります。

サイバー攻撃についての分量が少なくても一般的な審査・監査では特に指摘されません

 

こうした想定が不十分なインシデントレスポンスプランをどう改善していけば良いのでしょうか?Krebs氏の記事では以下の様に抜け落ちやすいポイントを指摘しています。

「または、復元を行うために実際に使用するソフトウェアアプリケーションがたくさんあり、これらのアプリケーションの一部は暗号化されたネットワーク内にあります」とSiegel氏は続けます。「それで、あなたは好きです」ああ素晴らしい。バックアップがあり、データはありますが、実際に復元を行うアプリケーションは暗号化されています。ですから、あなたをつまずかせる可能性のあるこれらすべての小さなことがあり、練習していないときに復元を行うことができなくなります。」

Wosarは、すべての組織がバックアップをテストし、ネットワークの再構築に必要な重要なシステムの復元に優先順位を付けるための計画を立てる必要があると述べました。

「多くの場合、企業はさまざまなネットワークの依存関係すら知らないため、システムを復元する順序もわかりません」と彼は言いました。「彼らは事前に知りません。「私たちが打撃を受けてすべてがダウンした場合、これらは私たちが構築できる基本的なネットワークの優先事項であるサービスとシステムです。」

 

企業・組織毎にシステムや運用が違うので、コレがベストというものはありませんが、1つ言えるのは、バックアップを「取っている」のが重要ではなく、バックアップから「いかに短時間」システムを復旧させるのかが重要なのです。

その為には、最新のサイバー攻撃事例やランサム攻撃事例をモデルに、自社・自組織の対応計画を更新していく事で、想定外が想定内の範囲に徐々に収まってくるのではないでしょうか。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

データが飛んだ人のイラスト

 

更新履歴

  • 2021年7月31日 AM