このページの本文へ

「ActiveImage Protector」で考える“企業が実施すべきバックアップ”のポイント

実録・ランサムウェア感染!それでも業務継続できたネットジャパンの話

2016年10月27日 11時00分更新

文● 大塚昭彦/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

2016年3月以降、日本国内を狙ったランサムウェアが急増している

 この半年ほどの間に、日本国内でも「ランサムウェア」(身代金要求型の不正プログラム)の被害報告が急増している。サイバー犯罪者たちが新たなターゲット地域として日本に狙いを定め、日本語のフィッシングメールなどを使って巧妙な攻撃を仕掛け始めたからだ。

 たとえばIPA(情報処理推進機構)によると、今年3月に相談が寄せられたランサムウェア被害の件数は、前月比で「5倍以上」に急増したという(17件→96件)。セキュリティベンダー各社も同様に、今年の国内ランサムウェア被害報告件数は昨年の数倍規模で推移しており、ランサムウェア攻撃はすでに「過去最大の規模」になっていることを警告している。

 「たしかに今年3月下旬以降、全国のお客様やSIベンダーの方から『ランサムウェアが大量発生している』という声をよく聞くようになりました」と語るのは、バックアップソフト「ActiveImage Protector」を開発/提供するソフトウェアベンダー、ネットジャパンの佐藤尚吾氏だ。

ネットジャパン 営業本部 営業企画部部長の佐藤尚吾氏

 かく言うネットジャパン自身も、実は社内のある業務PCがランサムウェアに感染し、そのPCやファイルサーバー(共有フォルダ)に保存していた業務ドキュメントをすべて暗号化されてしてしまう、という苦い経験をしている。だが、同社の場合は業務にはほとんど影響を受けることなく、短時間でランサムウェア被害から回復することができたという。

 なぜ、どのようにしてランサムウェア被害から即座に回復できたのか。また、ランサムウェア対策をどのように考え、今なにをすべきなのか。佐藤氏に聞いてみた。

ネットジャパンでは、同社のランサムウェア被害の経緯をブログでも公開している

アンチウイルスソフトだけでは「100%のランサムウェア対策」はできない

 ネットジャパンのランサムウェア被害は、同社の社員になりすました1通のメールが届いたことから始まったという。社内からのメールを装い、あたかも業務に関係のありそうなファイル(実体はランサムウェア)を添付してクリックさせるという、よくあるタイプの攻撃だ。

 もちろん、この業務PCにもアンチウイルスソフトはインストールされていた。しかし、このランサムウェアを検知することはできなかった。あるセキュリティベンダーのレポートによると、2016年上半期に発見されたランサムウェアの半数以上は「新種」だったという。犯罪者たちは、検知されないように新種のランサムウェアを開発し続けており、アンチウイルスソフトだけでランサムウェアを100%ブロックすることは困難になっている。

ネットジャパンでは、ランサムウェア感染によってPCやファイルサーバーに保存していた業務ドキュメントが暗号化されてしまった

 ネットジャパンの場合は、ランサムウェアを実行したPCと、そのPCが接続(マウント)していたファイルサーバー上のWord、Excel、PowerPointファイルが暗号化されてしまった。これだけでも被害は深刻だが、「お客様の中には、顧客データベースのAccessファイルや、製品設計図のファイルが暗号化されてしまったケースもあります」と佐藤氏は語る。

 企業の規模を問わず、現在では顧客データや財務データ、設計図やマニュアルなどの業務データまで、企業内のあらゆる情報がデジタルデータとして保存され、共有、活用されている。ランサムウェアによってそうしたデータが“人質”に取られてしまえば、企業ビジネスの存続をゆるがすほどのダメージを受けることにもなりかねない。

 それではなぜ、ネットジャパンでは、ランサムウェア被害から短時間で業務を回復することができたのか。それは、感染したPCもファイルサーバーも、すべてのデータをバックアップしていたからだ。

 同社はバックアップソフトの「ActiveImage Protector(AIP)」を開発、提供するソフトウェアベンダーであり、当然、業務PCやサーバーのデータは、ActiveImage Protectorを使ってバックアップされている。重要なファイルが暗号化されてしまっても、バックアップデータから簡単に“取り戻す”ことができたわけだ。

ネットジャパンが開発、提供する「ActiveImage Protector(AIP)」。国産ソフトなのでメニューなどもわかりやすい

 幸い、今回被害のあったランサムウェアは単純なものであり、システム内に駆除できない形で潜り込むようなものではなかった。そのため、PCもファイルサーバーも、ActiveImage Protectorを起動してバックアップイメージを開き、元のファイルをリカバリ(コピー)するだけで復旧することができた。その作業は、わずか「数分程度」で済んだという。

バックアップイメージから元のファイルを簡単に復元できたため、業務を継続できた

 「もっとも、今後ランサムウェアが進化すると、システムファイルまで暗号化したり、駆除できないように感染したりするようになるかもしれません。そのような場合でも、OSを含めて丸ごとバックアップしておけば、簡単かつ安全に復旧できます。『もはやアンチウイルスソフトだけでは100%保護できない』という現実をふまえ、ランサムウェア対策では、アンチウイルスにバックアップも組み合わせて検討すべきだと思います」(佐藤氏)

ランサムウェア対策としてのバックアップ、3つのポイント

 実際、ネットジャパンのActiveImage Protectorについても、ランサムウェア対策のために導入を検討する顧客が増えているそうだ。ランサムウェア対策としてのバックアップに関して、佐藤氏は3つのポイントを挙げた。

 まずは、必ず「定期的に」バックアップを実行することだ。バックアップは手作業で実行してもよいのだが、そのうち忘れてしまい、被害が出てからあわてることになる。当たり前だが、バックアップしていないファイルは復元できない。ここはスケジュール実行機能を備えたバックアップソフトを導入し、自動化しておくほうが安心だ。

 次に、バックアップデータの二次保存先として「オフラインのメディア」を用意すべきだ。感染したPCやオンラインのファイルサーバーなどにあるバックアップデータは、ランサムウェアに暗号化されてしまうおそれがある。安価なUSB外付けHDDなどでも構わないので、ランサムウェアがアクセスできないオフラインにもバックアップデータを保存しておく。

 最後は、ランサムウェア対策は「会社規模を問わず」行うべきという点だ。犯罪者は企業規模を問わず狙ってくる。そして、ランサムウェアの被害で業務に大きな支障が出るのは、中堅/中小企業であっても同じだ。予算の都合ですべてのマシンを保護するのは難しくても、まずはファイルサーバーなど重要なマシンからバックアップで保護すべきだと、佐藤氏は訴える。

 「コストがかかると言っても、一度でもランサムウェアの被害に遭い、それを回復できれば、バックアップにかかるコストなど簡単にペイしてしまうでしょう。実際に痛い目に遭われたお客様ほど、バックアップコストという“保険料”は安いものだとご理解いただけますし、『ほかのマシンもバックアップしておきたい』と追加購入されるケースが多いです」

 ActiveImage Protectorならば、物理サーバー1台あたり13万1900円、PCならば1台8400円で導入できる(税抜、ボリュームディスカウントもある)。これにバックアップ先ストレージのコストを加えても、企業向けバックアップソリューションとしては非常に低コストであり、中小企業でも十分に手が届く製品だ。

直感的に使え、BCP/DR対策にも役立つ機能を備えるActiveImage Protector

 もちろんバックアップは、ランサムウェア対策としてだけ機能するわけではない。システム障害への備え、事業継続対策(BCP)、災害対策(DR)としても重要なものであり、そうした要件も十分にふまえたうえでバックアップ製品を選択すべきだ。

 佐藤氏は、ActiveImage Protectorは「直感的に使えて、なおかつ幅広い用途や手法に対応するバックアップソフト」を目指して開発を進めてきたと説明する。中小企業では専任のIT管理者がいないケースも多いが、ActiveImage Protectorはそうした顧客にも導入されており、ITに詳しくないビジネスユーザーでも使いこなせているという。

ActiveImage Protectorは、GUI画面で直感的にバックアップやスケジュール設定、リカバリの操作などができる

 一方で、フルバックアップ+増分バックアップ、世代管理、重複排除圧縮処理など豊富な基本機能を備えており、効率良くバックアップできることも特徴だ。対応環境も、クライアントPCから物理サーバー(Windows/Linux)、仮想サーバー(VMware/Hyper-V)までと幅広い。

 また、P2V変換ツールやWAN経由での遠隔レプリケーション機能、「Amazon S3」API準拠のクラウドバックアップ機能も標準機能として組み込まれている。つまり、ソフトウェアの追加コストなしで、導入企業のニーズに応じた幅広い形態のバックアップソリューションへと展開していくことができる。

P2Vツールの画面。変換元と変換先を指定するだけで簡単に実行できる

 さらに、最新版である「ActiveImage Protector 2016 R2」では、リモートコンピューターへのプッシュインストール機能、リモート管理コンソール機能などが新たに追加されている。もちろん、これらの機能も標準機能として提供されるものだ。

 バックアップイメージファイルを仮想マシンとして直接起動できるツール(ImageBoot)も、ActiveImage Protector独自のすぐれた機能だ。本番環境に障害が起きた際、バックアップイメージをそのまま仮想マシンの起動ディスクとして使い、予備の環境を立ち上げることができる。

 「P2Vしたバックアップイメージ、あるいはVMwareやHyper-Vの環境からバックアップしたイメージを、時間をかけて仮想マシンイメージに変換することなく直接起動できます。つまり、とても簡単に仮想マシンベースのBCP/DR環境が構築できるわけです」

「ImageBoot」機能の仕組み。起動ディスクのバックアップイメージをそのまま使って、仮想マシンを立ち上げることができる

 佐藤氏は、ネットジャパンの持つ技術力とサポート力に強い自信を覗かせる。その背景には、顧客やパートナーの声を誠実に聞き、自社の技術力でひとつずつ課題をクリアしてきたという自負がある。

 「2009年の初版リリース以後、お客様とSIベンダーからのご意見やご指摘をいただきながら、すべて自社開発で成長してきました。たとえば、お客様の環境でしか発生しないバグがあれば、エンジニアが直接現場にうかがってソフトを修正したり、お客様に専用のデバッグツールを提供したりすることもあります。ソフトウェアベンダーとしては珍しく、サポート窓口を直接自社で国内運営しているのも、お客様の声を重要視しているからです」

 ActiveImage Protectorでは現在、今年度中のリリースを目標として、複数のマシンを統合管理できるマネージメントサーバーの開発に着手しているという。また、今年11月と12月には、エムオーテックスとアイ・オー・データ機器と共同で「ランサムウェア対策」をテーマとしたセミナーを開催する。

 企業ビジネスがますますITに依存するようになる中で、確実なバックアップの重要性は高まっている。

 「バックアップ製品どうしの違いは、カタログスペックだけではわかりにくくなってきました。ActiveImage Protectorは、数々のすぐれた技術を盛り込みながらも、どんな方でも簡単に使いこなせる製品だと自負しています。Webサイトでは無償試用版も提供していますので、ぜひ一度その違いを体感していただければと思います」

(提供:ネットジャパン)

カテゴリートップへ

ピックアップ