追加費用なし!BIGLOBEクラウドバックアップでクラウドサーバのランサムウェア対策


BIGLOBEの技術担当のスズケンです。

弊社の仮想基盤のお守りをしながらクラウドホスティングの商材開発、最近は客先訪問もしています。今回は、クラウドサーバのランサムウェア対策の1つを紹介します。

2017年9月末に、BIGLOBEクラウドバックアップに機能追加されています。

近年増加しているサイバー犯罪のランサムウェアに備えるActive Protection(アクティブ プロテクション)という機能で、BIGLOBEクラウドバックアップをご契約のお客様は、追加費用なしでご利用いただけます。

ランサムウェアは2016年頃から日本の一般ユーザーにも被害が多発しているサイバー犯罪ですが、Active Protection機能は、このランサムウェアの脅威からお客様のデータを守ります。

1.従来のランサムウェア対策とその問題点

ランサムウェアの被害にあわないようにするには、下記の2段階の防御が必要と言われています。


1段目)セキュリティソフトによる防御+適切な設定

2段目)データの複数世代のバックアップ


しかし、ランサムウェアは亜種も多く新種も出てきて巧妙な手段で攻撃してくるため、1段目のセキュリティソフトの防御をすり抜けてしまう場合も考えられます。

2段目として、ランサムウェアによるデータ暗号化の被害に備える対策がバックアップです。

万が一、ランサムウェアに感染しファイルが暗号化されても、バックアップがあればバックアップ時のデータに戻すことが可能となります。

ただし、バックアップでデータ自体は保護されていたとしても、ランサムウェアが動作するとコンピュータ内のほとんどのデータが暗号化されてしまいます。ランサムウェアは瞬時にファイルを暗号化してしまうので、その動作に気づいた時にはパソコン内のデータは手遅れになっているケースが多いです。

仮に暗号化されてしまったら、データをリストアする前に、コンピュータを復旧させなければなりません。

⇒感染前のバックアップがあったとしても、復旧にはとても時間を要することになります。

2.BIGLOBEクラウドバックアップを使ったランサムウェア対策

そこで、さらなる対策として、ActiveProtectionの活用をお薦めします。

BIGLOBEクラウドバックアップの管理画面で、保護対象のコンピュータを選択し、「Active Protection」とクリックします。

 

「適用」ボタンをクリックすると、コンピュータ上でActive Protectionサービスが起動します。

【サービス起動前】

 

【サービス起動後】

Active Protectionは、ランサムウェアの動作を常に監視します。

ランサムウェアがファイルの暗号化を始めると、Active Protectionはすぐにランサムウェアの振舞いを検出します。

この振舞いを検出したときに実行されるアクションとしては、下記が選択できます。


・通知のみ

・ランサムウェアの振舞いを検出したプロセスの停止

・ランサムウェアの振舞いを検出したプロセスの停止&キャッシュを使用して元に戻す

※キャッシュ:ランサムウェアのふるまい検知時に割り当てられるハードディスク上の一時的な領域


3つ目の「プロセス停止&キャッシュを使用して元に戻す」をお薦めします。

「編集」ボタンを押し、検出時のアクションを変えてみましょう。

 

「検出時のアクション」の行をクリックします。

 

「キャッシュを使用して元に戻す」を選択して、「完了」ボタンをクリックします。

 

「変更を保存」ボタンをクリックして、設定完了です。

ランサムウェアによる振舞いを検出すると、そのプロセスの書き込み前イメージをキャッシュに保持しますので、セキュリティソフトの防御をすり抜けたとしても、キャッシュのデータからリストアしてくれます。

一部のファイルは暗号化されてしまいますが、暗号化されたファイルはバックアップからファイルを復旧します。

下記は、クラウドホスティングの仮想マシンでランサムウェア風の動作をするソフトを敢えて実行した時のデモ画面です。

 

run_xorというプログラムを実行すると、ファイルを暗号化していきますが、Active Protectionがランサムウェア的なふるまいを検知して、裏で暗号化前のファイルをキャッシュに保持しています。

 

ランサムウェア的なものに感染した状態です。拡張子をdocxに変更してワードパッドで開いても、中身は暗号化されたため意味不明になっていました。

 

5秒くらい経過した時点で、Active Protectionのキャッシュからファイルがリストアされました。ファイルの更新日時は変更されてしまうようです。

 

 

管理画面でアラートが出ているのを確認できました。

このように、Active Protectionは、亜種/新種のランサムウェアがセキュリティソフトをすり抜けたとしても、ランサムウェアの被害を最小限にする対策の1つであることがお分かりいただけたと思います。

3.まとめ

ランサムウェア対策は、セキュリティソフトによる防御だけではNGです。また、バックアップすれば良いというものでもありません。

これからのランサムウェア対策は、


1段目)セキュリティソフトによる防御+適切な設定

2段目)Active Protectionによる防御

3段目)データの複数世代のバックアップ


となります。2~3段目をBIGLOBEクラウドバックアップで担うことができます。BIGLOBEクラウドホスティングの仮想サーバだけでなく、お客様サイトのPCやサーバも統合的に対策することも可能です。

この3段階の防御によって、ランサムウェアの脅威に備えましょう!


「BIGLOBEクラウドバックアップ」に関する情報は こちら もご参照ください。


※Active Protectionは、Windows Vista以降、およびWindows Server 2008以降を実行しているコンピュータで使用できます。

※コンピュータには、2017/9/28以降のエージェントfor Windows(バージョン12.0.4290以降)がインストールされている必要があります。

※Active Protectionは「BIGLOBEクラウドバックアップ」の標準機能です。BIGLOBEクラウドホスティングのご契約があれば、クラウドアプリストアから「BIGLOBEクラウドバックアップ」を購入できます。


参考:ランサムウェアとは

ランサムウェアは、パソコン等のファイルを暗号化し、ユーザーのデータを使えなくする悪質なマルウェアです。ランサムウェアに感染してしまい暗号化された データを復活させるには、ランサムウェアをばらまいた犯人に身代金を支払うしかありません。身代金を払っても、犯人がそのまま音信不通になる場合もあるようです。


参考:Active Protectionの仕組み

Active Protectionは、保護されているコンピュータで実行されているプロセスを監視します。

サードパーティのプロセスがファイルを暗号化しようとすると、Active Protectionは、アラートを生成し、追加のアクションが構成で指定されている場合はそれらのアクションを実行します。

ファイルの保護に加えて、Active Protectionは、バックアップソフトウェア自体のプロセス、レジストリレコード、実行可能ファイルと構成ファイル、および保護されているコンピュータのマスタブートレコードへの不正な変更も防止します。

悪意のあるプロセスを特定するために、Active Protectionではビヘイビアヒューリスティック法を使用します。

Active Protectionは、プロセスによって実行されるアクションのチェーンを、悪意のあるビヘイビアパターンのデータベースに記録されているイベントのチェーンと比較します。このアプローチにより、新しいマルウェアをその典型的なビヘイビアによって検知することができます。

 

 

phone
otoiawase

※本サイトに掲載された社名、商品名、サービス名、ロゴマークは各社の商標または登録商標です。


 

カテゴリー: サービス・イベント情報 タグ: , , パーマリンク