増大するサイバー脅威:ランサムウェアへの対処
セキュリティは、私たちにとって極めて重要な関心事です。これには、平和な社会生活を支える個人の安全保障と、デジタル経済の円滑な運営に不可欠なデータセキュリティが含まれます。しかし、ランサムウェアインシデントの絶え間ない発生は、あらゆる産業の発展を脅かしています。
サードパーティの統計によれば、2022年にグローバルネットワーク上で発生したランサムウェア攻撃は最大3,583万件に達し、2021年比で1,300万件以上の増加となりました。これには、悪質な大規模ランサムウェアインシデントが多く含まれています。あらゆる産業が長期的に安定した発展を続けるためには、ランサムウェアからの防御が不可欠です。
「敵を倒すには敵を知れ:ランサムウェアの謎を解き明かす」
まず、ランサムウェアとは何でしょうか? これは特殊なタイプのマルウェアです。他のウイルスと異なり、ランサムウェアはデータを暗号化し、標的型かつ組織的なネットワーク脅威攻撃を通じて、被害者から身代金を要求します。
ランサムウェアの攻撃プロセスは、以下のフェーズで構成されます。
「検知 (検知フェーズ)」
このフェーズでは、攻撃者はインターネット上のターゲットホストを探索します。例えば、攻撃者は積極的な脆弱性スキャンを実行し、ホスト上に存在する、ランサムウェアによって悪用可能な未修正の脆弱性を見つけ出します。脆弱性が検知されると、攻撃が開始されます。
「侵入 (拡散フェーズ)」
このフェーズでは、攻撃者はウイルスに感染した電子メールやフィッシングサイトをターゲットのメールボックスに送信したり、検知した脆弱性を悪用してターゲットのプロダクションホストやストレージシステムにランサムウェアを植え付けたりします。
「実行 ラテラルムーブメント(水平展開)および暗号化フェーズ」
(1) ランサムウェアの侵入に成功すると、それが実行され、攻撃者のランサムウェアキーサーバーからファイル暗号化用の鍵を取得します。その後、攻撃対象のネットワークを検知して水平移動(ラテラルムーブメント)を実行し、ランサムウェアを可能な限り多くのホストに拡散させます。二重脅迫モデルを持つ一部のランサムウェアは、攻撃対象の主要データを攻撃者のサーバーにアップロードもします。このフェーズでは、攻撃対象のサービスへの影響が軽微であるため、ランサムウェアは感知されません。
(2) 暗号化キーを取得・拡散した後、ランサムウェアはホストがアクセスできるファイル(ローカルファイルおよびマウントされたネットワークストレージ内のファイル)に対して大規模な暗号化操作を実行します。一部の高度なランサムウェアは、ストレージシステム内のバックアップデータも検知し、攻撃対象が回復できないようにバックアップデータを積極的に削除します。
プロセスが完了すると、攻撃対象は身代金の支払いを要求されます。
「敵を打ち破る MAGNA Storageのランサムウェア保護」
従来のネットワークセキュリティソリューションは、主に検知や攻撃の侵入フェーズでのみ効果を発揮します。しかし、リモートオフィス、モバイル端末アクセス、サプライチェーンとの連携、サービスのクラウド移行が進むにつれて、企業のネットワーク境界はますます不明確になっています。これは、ITアーキテクチャから単一で明確な境界線が失われたことを意味します。その結果、境界(ボーダー)ベースのネットワークセキュリティやデータセキュリティは、ポリシー策定において大きな課題に直面しています。ランサムウェアのようなネットワーク脅威が一度境界を突破すると、水平移動(ラテラルムーブメント)を阻止することが極めて困難になるためです。
ランサムウェア攻撃から防御するためには、第一に、ネットワーク側の保護能力を高め、突破されるリスクを低減する必要があります。そして第二に、データセキュリティの回復力(レジリエンス)を強化することが求められます。ネットワーク側の防御がランサムウェア攻撃を阻止できなかった場合でも、以下の要件を満たす必要があります。
-
データが暗号化されることを効果的に防ぐこと
-
ランサムウェア攻撃を遅延なく警告すること
-
データ暗号化後でも、完全かつクリーンなデータコピーを用いてサービスシステムを迅速に復旧させること
データを担うキャリアとして、ストレージはデータセキュリティにおける最後の防衛線となります。MAGNA Storageは、データ暗号化、データ改ざん防止、そして検知・分析能力を組み合わせることで、ランサムウェア攻撃から防御します。さらに、MAGNA StorageはAir Gap(エアギャップ)セキュア分離ゾーンを導入し、ストレージシステム自体への攻撃を防ぐことで、ランサムウェア対策を「予防可能」「検知可能」「回復可能」なものとし、データの回復力(レジリエンス)を大幅に向上させます。
それでは、MAGNA Storage ランサムウェア保護ソリューションに関わるいくつかの主要技術を見てみましょう。
「データ暗号化」
データ暗号化は、生データが盗まれた場合に機密情報の漏洩を防ぐ典型的な方法です。たとえハッカーがデータを取得したとしても、暗号化が解読不可能であるため、機密情報が漏洩することはありません。MAGNA Storageのデータ暗号化は、ストレージ暗号化と伝送暗号化に分類されます。ストレージ暗号化は(ストレージの盗難やハードディスクの盗難などの)物理的攻撃を防ぎ、伝送暗号化は伝送中のデータの傍受、盗難、漏洩、改ざんを効果的に防ぎます。
「データ改ざん防止」
データ改ざん防止は、MAGNA Storage ランサムウェア保護ソリューションにおいて重要な役割を果たします。非構造化データが一度書き込まれ、何度も読み取られるシナリオでの改ざん防止に加えて、書き込み修正のシナリオではスナップショットレベルでも改ざん防止を実装できます。
「非構造化データWORM」
非構造化データWORM(Write Once Read Many) は、データが一度だけ書き込み可能で、複数回読み取り可能であることを意味します。ユーザーはファイルに保護期間を設定できます。保護期間中、ファイルは読み取り専用となり、変更や削除はできません。保護期間が終了すると、ファイルは削除できます。
「セキュアスナップショット」
セキュアスナップショットと共通のスナップショット内のデータは、どちらも読み取り専用です。セキュアスナップショットは、完了すると保護期間が設定される点で、共通のスナップショットとは異なります。保護期間中、管理者であってもスナップショットを削除する権限はありません。セキュアスナップショットの期限が切れると、手動または自動で削除できます。
非構造化データWORMとセキュアスナップショットには、WORMクロックが適用されます。このクラスターのWORMクロックは一度だけ設定可能で、以下のセキュリティ機能を持っています。WORMクロックがシステムクロックよりも進んでいる場合、WORMクロックは自動でシステムクロックに修正されます。一方、WORMクロックがシステムクロックよりも遅れている場合でも、1時間あたりに許可されるWORM時間の最大増加値は138秒以内に制限されます。これにより、攻撃者がWORMクロックやシステムクロックを意図的に変更し、非構造化データWORMやセキュアスナップショットの保護を無効化するのを防ぎます。
「検知と分析」
MAGNA Storageは、非構造化データの改ざんや削除を防ぐWORM機能を提供します。しかし、特定のデータを変更する必要があるシナリオでは、一度書き込んだデータが変更不能なWORMファイルシステムでは対応できません。このため、データのコピーを保護するためにセキュアスナップショットが必要となります。ランサムウェア攻撃に直面した場合、組織にとって最も重要なのは、データ暗号化の事実をタイムリーに警告され、回復に利用できる安全なデータコピーを確保することです。保護対象のデータを効果的に検知・分析することで、ランサムウェアによるデータ暗号化のリスクを軽減し、データ回復の成功率を向上させることが可能です。
MAGNA Storageで実行されるランサムウェア検知・分析ソリューションは、ランサムウェア攻撃に対して3層の保護と検知を実行します。
-
攻撃前 (ランサムウェア拡散フェーズ): 既知のランサムウェア拡張子を持つファイルの書き込みをブロックします。
-
攻撃中 (ランサムウェア水平展開および暗号化フェーズ): 既知のタイプのランサムウェア暗号化ファイルの書き込みを監視し、悪意のあるI/O挙動を識別し、機械学習モデルを使用して脅威を判断します。
-
攻撃後 (ランサムウェア恐喝完了): ファイルシステムのスナップショット変更特徴を抽出し、コンテンツの観点からシステムを識別し、機械学習モデルを使用してファイルシステムが感染しているかどうかを分析します。
-
MAGNA Storageのアクセスプロトコル設定にはブロックリストが導入されています。これは特定の拡張子を持つファイルを迎撃し、これらのファイルがストレージシステムに書き込まれるのを防ぎます。
リアルタイムのランサムウェア検知 ランサムウェアの攻撃ベクトルには、高いランダム読み取り操作や強制的な暗号化、書き込み、削除など、共通の特徴があります。これらは、異常なI/O挙動を検知するための理論的根拠となります。典型的なランサムウェア攻撃ベクトルは、以下のアクションで構成されます。
-
データを暗号化するために必要なファイルの読み取り
-
類似した読み取り/書き込みバイト数を持つ新規ファイルまたは書き換えファイルの書き込み
-
元の情報を破壊し、元のファイルを削除/上書き
-
読み取りの直後、あるいは同時に書き込み
-
短時間での読み取り、書き込み、削除の試み
異常なI/O挙動の迅速なスクリーニング
ソリューションは、共通の特徴に基づいてストレージシステム内の疑わしいI/O挙動を分析・識別し、その後、関連ファイルに対して詳細なファイル損傷検知を実行します。
ファイル損傷の詳細な検知
損傷したファイルは、基本的なコンテンツ特徴に基づいて識別されます。基本的な特徴が識別できないファイルについては、ファイルコンテンツに対して機械学習アルゴリズムを実行し、ファイルの損傷を検知します。
セキュアスナップショットとアラーム
損傷したファイルが配置されているファイルシステムに対してセキュアスナップショットが作成され、アラームが発せられることで、タイムリーな介入が可能になり、ランサムウェアがさらに広がるのを防ぎ、損失を減少させます。
スナップショットのランサムウェア検知 サイバー脅威発生時、回復に使えるクリーンなデータコピーを確保することが不可欠です。MAGNA Storageの定期的なコピー・ランサムウェア検知機能は、日次または時間単位で名前空間スナップショットを検知し、名前空間データが感染していないかを識別するように設定できます。スナップショット内のデータが回復力(レジリエンス)を持つと判断された場合、そのスナップショットはセキュアスナップショットとして設定され、ランサムウェアによる削除から保護された、クリーンで信頼性の高い回復データソースとなります。
単一スナップショット内の既知のランサムウェア特徴の検知
ランサムウェアには2つの一般的な挙動があります:暗号化されたファイルの拡張子に接尾辞を追加することと、ランサムウェアファイル(脅迫状)を残すことです。既知のランサムウェアについては、接尾辞と脅迫状の特徴を使用して、ランサムウェア感染の痕跡を見つけることができます。
「データのレジリエンスで世界を守る」
現代において、データはあらゆる分野でその力を発揮し、世界の発展を加速させる必須の要素です。MAGNA Storageは、データ暗号化、リアルタイムのランサムウェア検知、セキュアスナップショットといった技術で、あらゆる企業のデータ資産に強固な保護壁を築きます。
