ランサムウェア対策には欠かせない「バックアップデータの保護設定」
さて、ここまではファイル履歴機能を使った「通常の」バックアップ方法を説明してきた。ただし、これだけではまだランサムウェアの危険性を完全に回避できたとはいえない。ランサムウェアによって、せっかく取ったバックアップデータすらも攻撃(暗号化)されてしまう恐れがあるからだ。
保存先ドライブの中身を見てみると、元のデータがコピーされただけのものが保存されている
そこで、Windowsのセキュリティ設定を変更し、バックアップデータをランサムウェアが攻撃できないようにしておく。具体的には、バックアップデータの保存先フォルダを、ファイルの削除ができないように設定変更してしまうのである。
なお、SDカードやUSBメモリは「FAT32」形式でフォーマットされていることが多い。以下で説明するセキュリティ設定は「NTFS」フォーマットでなければ設定できないので、それらを保存先ドライブに使う場合には、あらかじめNTFSでフォーマットし直しておいてほしい。
それではセキュリティ設定の手順を説明しよう。まず、バックアップ保存先ドライブの「FileHistory」フォルダを開き、さらにフォルダを掘り進めて「Data」フォルダを見つける。ファイル履歴機能がバックアップしたデータは、このDataフォルダに収められている。
次に、Dataフォルダを右クリックしてプロパティを開き、「セキュリティ」タブを表示する。初期設定では、Dataフォルダは「Everyone」(すべてのユーザー)に対して「フルコントロール」のアクセス権を与えているはずだ。つまり、どんなユーザー権限でも、ここにあるバックアップデータを削除したり、書き換えたりすることができるわけだ。
Dataフォルダのプロパティを開き、セキュリティ設定を確認する。このままではすべてのユーザー(Everyone)がフルコントロール可能
ここで、自分のユーザーアカウントにだけアクセス権を与える設定を行う。ただし、できる操作は新たなファイルの追加だけで、ファイルの削除はできないようにする。ランサムウェアが、ユーザーのアカウント権限を悪用する可能性もあるからだ。
Dataフォルダのプロパティウィンドウで「詳細設定」ボタンをクリックし、そこで開いた「セキュリティの詳細」画面で「追加」ボタンをクリックすると「アクセス許可エントリ」という画面が表示される。ここで、アクセス許可設定を編集する。
「セキュリティの詳細」画面で「追加」ボタンをクリックすると「アクセス許可エントリ」画面が表示される
ここではまず「プリンシパルの選択」をクリックし、「ユーザーまたはグループの選択」ダイアログで、「選択するオブジェクト名を入力してください」欄に自分のユーザー名(Windowsログオン時のID)を入力する。「名前の確認」ボタンをクリックすれば、ユーザー名がオブジェクト名に変換される。入力できたら「OK」ボタンで元の画面に戻る。
ユーザー名(ログオンID)を入力して「名前の確認」をクリックし、「OK」で元の画面に戻る
次に「高度なアクセス許可を表示する」をクリックし、コントロール項目を表示させる。ここではいったん「フルコントロール」にチェックを入れたあと、「サブフォルダーとファイルの削除」「削除」「アクセス許可の変更」の3項目のチェックを外す。あとは「OK」ボタンで、アクセス許可エントリの編集を完了する。
「高度なアクセス許可」項目で3項目のチェックを外し、ファイルやフォルダの削除を禁止する
「セキュリティの詳細設定」画面に戻ったら「継承の無効化」をクリックし、表示されるダイアログで、上側の「→継承されたアクセス許可をこのオブジェクトの……」を選択する。
継承の無効化を行う
ここまでの作業で、自分のユーザーアカウントに適切なアクセス権を付与することができた。最後に、すべてのユーザー(Everyone)に与えられていたフルコントロール権を削除する。プリンシパルの欄で「Everyone」を選択し、「削除」ボタンをクリックする。これで「OK」ボタンを押すと、Dataフォルダ以下のすべてのファイル/フォルダに対し、アクセス権の設定変更が実行される。
「Everyone」(すべてのユーザー)に対するアクセス許可を削除する。「OK」をクリックするとアクセス権の設定変更が実行される
これで、このDataフォルダでは、ファイルやフォルダの削除ができなくなった。たとえランサムウェアがバックアップデータを暗号化しようとしても、できないわけだ。
ただし、この設定により、ファイル履歴機能も古いバックアップデータを削除できなくなる。そのため、前述したとおり、バックアップの保持期間は「無期限」に設定するしかない。もしも、保存先ドライブが古いバックアップファイルで一杯になってきた場合には、ドライブをフォーマットして空にするか、新しいバックアップドライブを用意する必要がある(その場合は再度、上述のセキュリティ設定が必要になる)。
