ランサムウェアは高度に組織化された広範な脅威となっており、従来の防御策では対処が難しくなっています。今日のランサムウェア攻撃は、まずあなたの最後の防衛線であるバックアップインフラを標的にします。生産環境をロックする前に、サイバー犯罪者はバックアップを攻撃し、回復能力を麻痺させ、身代金の支払いの可能性を高めます。
特に、これらの攻撃は防御を慎重に破壊するように設計されています。脅威アクターはバックアップエージェントを無効化し、スナップショットを削除し、保持ポリシーを変更し、バックアップボリュームを暗号化し(特にネットワークアクセス可能なもの)、統合バックアッププラットフォームの脆弱性を悪用します。彼らは単にアクセスを拒否するのではなく、回復手段そのものを消し去ろうとしています。バックアップ環境がこの進化する脅威の状況を考慮して構築されていない場合、侵害されるリスクが高まります。
ITプロフェッショナルはこれに対してどのように防御できるでしょうか?このガイドでは、バックアップを露出させる弱い戦略を明らかにし、ランサムウェアに対抗するためにオンサイトおよびクラウドベースのバックアップを強化するための実行可能な手順を探ります。洗練されたランサムウェア攻撃に直面しても100%信頼できるバックアップ戦略を構築する方法を見てみましょう。
バックアップを露出させる一般的な落とし穴#
不十分な分離とオフサイトまたは不変のコピーの欠如は、バックアップ戦略における最も一般的な弱点の一つです。スナップショットやローカルバックアップだけでは不十分です。生産システムと同じオンサイト環境にある場合、攻撃者によって簡単に発見され、暗号化または削除される可能性があります。適切な隔離がないと、バックアップ環境は横方向の移動に非常に脆弱であり、ランサムウェアが侵害されたシステムからバックアップインフラに広がることを許します。
バックアップを侵害するために使用される最も一般的な横方向の攻撃技術は次のとおりです:
- Active Directory (AD) 攻撃: 攻撃者はADを悪用して特権をエスカレートし、バックアップシステムにアクセスします。
- 仮想ホストの乗っ取り: 悪意のあるアクターは、ゲストツールやハイパーバイザーコードの誤設定や脆弱性を利用して、バックアップをホストする仮想マシン(VM)を含むハイパーバイザーと仮想マシンを制御します。
- Windowsベースのソフトウェア攻撃: 脅威アクターは、バックアップソフトウェアやバックアップリポジトリへのエントリポイントとして、バージョン間での組み込みのWindowsサービスと既知の動作を悪用します。
- 一般的な脆弱性と露出 (CVE) の悪用: 高度なCVEは、パッチが適用される前にバックアップホストを侵害するために定期的に標的にされます。
もう一つの大きな落とし穴は、クラウドバックアップに単一のクラウドプロバイダーに依存することです。これにより、単一障害点が生じ、データの完全な損失のリスクが増加します。たとえば、Microsoft環境でMicrosoft 365データをバックアップしている場合、バックアップインフラとソースシステムが同じエコシステムを共有しているため、簡単に発見されます。盗まれた資格情報やアプリケーションプログラミングインターフェース(API)アクセスを使用して、攻撃者は両方を同時に侵害することができます。
3-2-1-1-0戦略でバックアップの回復力を構築する#
3-2-1バックアップルールは長い間、データ保護のゴールドスタンダードでした。しかし、ランサムウェアがバックアップインフラをますます標的にする中で、それだけでは不十分です。今日の脅威の状況は、攻撃者が回復能力を破壊しようとすることを前提とした、より回復力のあるアプローチを求めています。
そこで3-2-1-1-0戦略が登場します。このアプローチは、データの3つのコピーを保持し、2つの異なるメディアに保存し、1つのコピーをオフサイトに、1つの不変のコピーを持ち、バックアップエラーをゼロにすることを目指しています。
 |
| 図1: 3-2-1-1-0バックアップ戦略 |
その仕組みは次のとおりです:
データの3つのコピー: 1つの生産 + 2つのバックアップ#
バックアップを行う際、ファイルレベルのバックアップにのみ依存しないことが重要です。オペレーティングシステム(OS)、アプリケーション、設定、データを含む完全なシステムをキャプチャするイメージベースのバックアップを使用して、より完全な回復を行います。ベアメタルリカバリーや即時仮想化などの機能を探してください。
標準のバックアップソフトウェアの代わりに、専用のバックアップアプライアンス(物理または仮想)を使用して、より大きな隔離と制御を実現します。アプライアンスを探す際には、攻撃面を減らし、Windowsベースの脆弱性や一般的に標的にされるファイルタイプを避けるために、強化されたLinux上に構築されたものを検討してください。
2つの異なるメディア形式#
リスクを多様化し、同時の侵害を防ぐために、バックアップを2つの異なるメディアタイプ(ローカルディスクとクラウドストレージ)に保存します。
1つのオフサイトコピー#
自然災害やサイト全体の攻撃から保護するために、1つのバックアップコピーをオフサイトに地理的に分離して保存します。可能であれば、物理的または論理的なエアギャップを使用してください。
1つの不変のコピー#
ランサムウェアや不正なユーザーによって変更、暗号化、削除されないように、少なくとも1つのバックアップコピーを不変のクラウドストレージに保持します。
0エラー#
バックアップは定期的に検証、テスト、監視され、必要なときにエラーがなく回復可能であることを確認する必要があります。完全な信頼を持って回復できるまで、戦略は完了していません。
3-2-1-1-0戦略を真に効果的にするためには、バックアップが存在する環境を強化することが重要です。次のベストプラクティスを考慮してください:
- バックアップサーバーを安全なローカルエリアネットワーク(LAN)環境に展開して、アクセスを制限します。
- 最小特権の原則を使用してアクセスを制限します。ロールベースのアクセス制御(RBAC)を使用して、ローカルドメインアカウントがバックアップシステムに管理者権限を持たないようにします。
- バックアップネットワークをセグメント化し、インターネットからのインバウンドトラフィックを許可しないようにします。アウトバウンドのみを許可します。また、保護されたシステムのみがバックアップサーバーと通信できるようにします。
- ファイアウォールを使用してネットワークアクセス制御を強制し、ネットワークスイッチポートでポートベースのアクセス制御リスト(ACL)を使用します。
- エージェントレベルの暗号化を導入し、バックアップサーバーに書き込まれるデータが、独自のパスフレーズで生成できるユニークなキーで暗号化されるようにします。
- 未使用のサービスやポートを無効にして、潜在的な攻撃ベクトルの数を減らします。
- バックアップ環境へのすべてのアクセスに対して、多要素認証(MFA)を有効にします。可能であれば、時間ベースのワンタイムパスワード(TOTP)よりも生体認証を使用してください。
- バックアップシステムをパッチ適用し、最新の状態に保ち、既知の脆弱性への露出を避けます。
- すべてのバックアップデバイスを物理的に安全にし、ロックされたエンクロージャ、アクセスログ、監視措置を講じます。
クラウドベースのバックアップを保護するためのベストプラクティス#
ランサムウェアは、バックアップが同じエコシステムに存在する場合、クラウドプラットフォームを同様に標的にすることができます。そのため、セグメンテーションと隔離が重要です。
データのセグメンテーションと隔離#
クラウドで真のエアギャップを構築するには、バックアップデータが独自の認証システムを持つ別のクラウドインフラに存在する必要があります。生産に保存された秘密や資格情報に依存しないようにします。この分離により、侵害された生産環境がバックアップに影響を与えるリスクが減少します。
プライベートクラウドバックアップアーキテクチャを使用する#
バックアップデータをソース環境から別のクラウド環境(プライベートクラウドなど)に移動するサービスを選択します。これにより、元のアクセスベクトルから保護された論理的に隔離された環境が作成され、現代のランサムウェアに耐えるために必要なエアギャップ保護が提供されます。共有環境では、攻撃者がソースとバックアップの資産を1つのキャンペーンで発見、アクセス、破壊することが容易になります。
認証とアクセス制御#
クラウドベースのバックアップは、完全に別のアイデンティティシステムを使用する必要があります。MFA(できれば生体認証)、RBAC、エージェントの削除や保持ポリシーの変更などの不正な変更に対するアラートを実装します。資格情報は、バックアップされるエコシステムと同じ場所に保存されるべきではありません。アクセス トークンや秘密を生産環境(AzureやMicrosoft 365など)外に保持することで、バックアップの回復に対する依存を排除します。
Datto BCDRがバックアップを100%の回復信頼性で保護する方法#
適切な戦略があっても、最終的には選択するツールに依存します。そこでDattoの事業継続性と災害復旧(BCDR)プラットフォームが際立ちます。Datto BCDRは、そのSIRISおよびALTOアプライアンスと不変のDatto BCDR Cloudによって駆動されるシームレスなローカルおよびクラウドの継続性を提供します。最悪のシナリオでも、バックアップが常に回復可能であることを保証します。
 |
| 図2: Datto BCDRが事業継続性を提供する方法 |
Datto BCDRが保証された回復を提供する方法は次のとおりです:
- ローカルおよびクラウドの冗長性: Datto BCDRは、ローカルの回復ターゲットとしても機能する堅牢なバックアップアプライアンスを提供します。障害時には、ワークロードやアプリケーションをデバイス上で直接実行できます。オンプレミスシステムが侵害された場合、回復は仮想化された操作のためにDatto BCDR Cloudにシームレスに移行し、事業継続性を中断なく確保します。
- 不変のDatto BCDR Cloudの力: バックアップと災害復旧のために特別に設計されたDatto BCDR Cloudは、比類のない柔軟性、セキュリティ、パフォーマンスを提供します。基本的なオフサイトストレージを超えて、多層保護を提供し、重要なデータを安全かつ即座に回復可能にします。
- 効果的なランサムウェア防御: Dattoアプライアンスは、Windowsシステムで一般的に標的にされる脆弱性を軽減するために、強化されたLinuxアーキテクチャで動作します。また、回復が開始される前に脅威を積極的にスキャンする組み込みのランサムウェア検出を含んでいます。
- 自動化された、検証済みのバックアップテスト: Dattoの自動スクリーンショット検証は、VMがバックアップから起動できることを確認します。また、アプリケーションレベルのチェックを実行して、復元後にワークロードが正しく機能することを確認し、ITチームが推測なしで回復を検証できるようにします。
- 回復をシームレスにするための超高速回復オプションには:
- 災害復旧をほぼ瞬時に行う1-Click Disaster Recovery(1-Click DR)などの機能があります。
- フルシステム復元のための安全なイメージベースのバックアップ。
- 偶発的または悪意のある場合でも、削除されたクラウドスナップショットを即座に回復するCloud Deletion Defense™。
バックアップ戦略を再考する時が来たのか?#
サイバー回復力はバックアップのセキュリティから始まります。ランサムウェアが襲う前に、自問してください: バックアップは本当に生産システムから分離されていますか?侵害されたアカウントによって削除または暗号化される可能性はありますか?最後にテストしたのはいつですか?
今こそ、リスクベースの視点でバックアップ戦略を評価する時です。ギャップを特定し、弱点を強化し、回復を確実にする—疑問ではなく確実性にします。
Datto BCDRがどのようにして現実の脅威に対応した安全で回復力のあるバックアップアーキテクチャを実装するのに役立つかを探ってください。今日の価格を取得する。
翻訳元: https://thehackernews.com/2025/06/how-to-protect-your-backups-from-ransomware-attacks.html