データのバックアップを取得していたのに……よくあるトラブル事例
サイバー攻撃が多様化している昨今。「データのバックアップを取得していれば安心」と思われがちですが、実際には「バックアップは取っていたのに、いざそこから復旧しようと思ったらプロに止められた」という状況も少なくありません。以下に、代表的な事例を紹介します。
「潜伏型攻撃」により、安全なデータがどれか不明に
A社では、社内PCの一台にウイルスが侵入していたものの、その事実に長期間気付くことができませんでした。その数週間から数カ月の間に、バックアップも含めたデータが少しずつ改ざんされていたのです。
やがて被害が発覚し、バックアップデータからの復旧を試みたものの、直近のデータは既に汚染されていました。そのため、どの時点のデータが正常なのかを一つずつ確認する必要があり、復旧までに多大な時間と労力を要しました。
バックアップ設定が不十分で、復旧しても一部アクセス不可に
B社では、ファイルサーバーのバックアップデータを定期的に取得していました。しかし、システムを稼働させるための構成管理情報やDNS設定、SSL証明書などはバックアップ対象に含まれていませんでした。
その後、ウイルス感染によるトラブルが発生。バックアップからデータ自体は復旧できたものの、必要な設定情報が不足していたため、一部のシステムが社外からアクセスできない状況となりました。
バックアップサーバーを同一ネットワーク内に設置
C社はサイバー攻撃に遭い、メインシステムの特権IDを攻撃者に盗まれました。バックアップは取得していたため、C社の担当者は「復旧できるから大丈夫だろう」と考えていました。
ところが実際には、バックアップサーバーが本番環境と同一ネットワーク内にあったため、攻撃者はネットワークに侵入した時点でバックアップサーバーにもアクセスし、非常に見つけにくいデータ暗号化ウイルスを仕込んでいたのです。その結果、どの世代のバックアップがクリーンで、どの世代が汚染されているのかを見極める現実的な時間と費用が取れず、結果的に全面的な復旧不能状態となりました。
古い外付けHDDの老朽化で復旧不能に
D社では、バックアップデータを大容量の外付けHDDに保存していました。ある日、ウイルス感染が発生し、HDDに保存していたバックアップデータからの復旧を試みたところ、読み取りエラーが発生し、結局、データの一部しか取り出せませんでした。
バックアップに使用していた機器が導入から10年以上経過しており、保管場所の環境にも配慮されていなかったことが感染の後に判明したのですが既に手遅れ。装置の老朽化による不具合と読み取り不良が原因で復旧不能になったのでした。
攻撃者はどうやってバックアップを破壊するのか
攻撃者はどのように社内システムへ侵入し、バックアップデータまで汚染・暗号化してしまうのでしょうか。攻撃者の手口として多い「特権IDの奪取」と「バックアップ管理サーバーや保管先への侵害」を中心に、その仕組みを解説します。
【典型パターン】特権IDの奪取(アカウント奪取)
攻撃者はまず、フィッシングメールやマルウェア感染などをきっかけに社内ネットワークへ侵入し、管理者アカウントやバックアップ運用に使用する特権IDの認証情報を盗み取ります。特権IDを取得されると、バックアップシステムの設定変更や世代管理の削除、スナップショットの消去、バックアップジョブの停止などが可能になります。
その結果、バックアップデータ自体は存在していても、復旧に必要な履歴やデータが失われ、「バックアップはあるのに復旧できない」という深刻な事態を招く恐れがあります。
【典型パターン】バックアップ管理サーバー/保管先への侵害
バックアップサーバーやNAS、クラウドバックアップの管理コンソールが、本番環境と同一ネットワークや同一の認証基盤で運用されている場合、攻撃者は社内ネットワーク内を移動し、バックアップ基盤にまで到達し得ます。
ひとたびアクセスを許すと、バックアップデータの暗号化や削除、保管先設定の改ざんなどが行われ、復旧手段そのものが破壊される恐れがあります。バックアップ用アカウントへの権限付与は必要最小限にとどめることが重要です。
【関連リスク】ドメイン管理(DNS)の奪取
攻撃者がドメイン管理アカウントに侵入し、DNSレコードを書き換えるケースもあります。DNSが改ざんされると、Webサイトやメールの接続先が攻撃者の用意したサーバーへ誘導されるなど、外部からの通信が乗っ取られる恐れがあります。
この場合、バックアップからシステム自体を復旧できたとしても、外部から正しくアクセスできない状態が続き、「復旧したのに業務が再開できない」という状況に陥ります。こうしたリスクを防ぐため、MFA(多要素認証)の導入やレジストラロックの設定、DNS変更の監視などを検討しましょう。
バックアップデータを適切に保存するためのポイント
ここまで見てきたように、バックアップデータを取得していても、その方法や保管環境によっては十分に機能しないケースがあります。いざというとき確実に復旧できるバックアップデータを取得・保管するため、以下の点に留意しましょう。
3-2-1ルールの徹底
バックアップの基本原則として知られているのが「3-2-1ルール」です。これは、データを3つ以上保持し、2種類以上の異なる媒体に保存し、そのうち1つはオフサイト(遠隔地)に保管するという考え方です。
例えば、本番データに加えてローカルのバックアップを1つ、さらにクラウドや別拠点にもう1つ保存することで、システム障害や災害、サイバー攻撃など複数のリスクに備えることができます。
近年はランサムウェア攻撃によって、同一ネットワーク内のデータが一括で暗号化されるケースも増えています。そのため、バックアップの保存場所や媒体を分散し、普段使用しているネットワークから切り離された環境にデータを保管しておくことが重要です。
オフライン(エアギャップ)保存
外付けHDDやLTOテープなどを用いたオフライン(エアギャップ)保存も、3-2-1ルールを実践するうえで重要な選択肢です。エアギャップとは、バックアップ媒体をネットワークから物理的に切り離して保管する方法で、普段利用するネットワークとバックアップ媒体の間がケーブルでつながっておらず、空気(エア)の隔たり(ギャップ)がある状態です。万が一社内ネットワークがサイバー攻撃を受けた場合でも、バックアップデータまで被害が及ぶリスクを大幅に抑えることができます。
ただし、外付けHDDなどの記憶媒体は、経年劣化によって故障や読み取りエラーが発生する可能性があります。ネットワーク越しに遠隔チェックできないことを強みにしているわけですから、定期的な機器の立ち会いチェックや更新、耐用年数の確認を行い、いざというとき確実に読み出せる状態を維持しておくことが、このバックアップ運用の前提となります。
書き換えできない「イミュータブルストレージ」の活用
ランサムウェア対策として近年注目されているのが「イミュータブルストレージ」です。
イミュータブルストレージとは、保存されたデータを一定期間書き換えや削除ができない状態で保管する仕組みのことです。管理者を含む社内ユーザーもデータを変更できないため、攻撃者がシステムに侵入した場合のデータ改ざん・削除リスクを抑えられます。
攻撃によるバックアップの暗号化・削除が増えている今、こうした「改ざんできない保管領域」の確保は不可欠です。
バックアップデータのアクセス権管理
バックアップサーバーや保存領域に到達できる人(アカウント)が多ければ多いほど、アカウントが不正利用された際にデータの削除や改ざんにつながる恐れがあります。バックアップにアクセスできるユーザーやアカウントは必要最小限に限定しましょう。
また、先述のMFA(多要素認証)は、バックアップ運用アカウントにも同様に有効です。不正ログインのリスクを抑え、バックアップデータの安全性を高められます。
まとめ
バックアップデータは、取得しているだけでは十分とは言えません。攻撃者による特権IDの奪取やバックアップ基盤への侵入などによって、バックアップデータ自体が汚染・暗号化されるケースが増えているからです。
いざというとき確実に復旧できるよう、3-2-1ルールの徹底やオフライン保存、イミュータブルストレージの活用、アクセス権管理の強化など、適切なバックアップ運用を整備しておきましょう。
大塚商会では「データ・ファイル復旧/復元サービス」を提供しているほか、バックアップデータの取得・保存を支援する各種ツールおよびシステムを取り扱っています。ぜひご活用ください。
著者紹介:水無瀬 あずさ
現役エンジニア兼フリーランスライター。PHPで社内開発を行う傍ら、各メディアでコンテンツを執筆している。得意ジャンルはIT・転職・教育。生成AI×プログラミングでゲームを開発するための勉強にも励んでいる。(編集:株式会社となりの編プロ、ARC影山)
この記事を社内で共有し、課題解決のヒントにお役立てください
お客様マイページの「連絡ボード」機能を使って、同じ会社のメンバーと簡単にこのページを共有できます。社内で情報を共有し、組織全体の課題解決や業務効率の向上にお役立てください。
社内のメンバーに共有する(企業で共有する)
- (注)連絡ボードを利用するには企業設定が必要です。
