以前、RaaS(Ransomware as a Service)の概念を耳にしたとき、私たちが直面するであろう実際の脅威の大きさに衝撃を受けました。そして先週、RaaSと新たな脅威の詳細が書かれたこちらのブログ記事を見つけました。少し時間を割いてこの記事をお読みください。私には、RaaSがこれまでのITを変えてしまうように思えるのです。
今やランサムウェアはいとも簡単に作成できるようになりました。内部者による脅威が拡大するのは疑いようがありません。かつて、マルウェアは技術のあるハッカーしか作成できないものでしたが、今では誰もがカスタム・ランサムウェア・ドロッパーを作成できるようになっています。Webサイト上で数回クリックするだけでよいのですから!まさに「楽々と」という言葉がぴったりでしょう。そのあと犯罪者がやることと言えば、どこかのコンピュータでドロッパーを実行して、身代金が支払われるのを待つだけです。問題が見えてきたでしょうか。
RaaSは新しい脅威などではなく、最小権限の原則や、物理サーバーへのアクセス制限が今までより重要になってくるのだという意見もあるかもしれません。しかし、それは間違いであり、RaaSはむしろまったく新しい脅威です。なぜなら、金銭が関係してくるからです。それも、非常に高額になる可能性があります。
ある意味、この概念は大学のコンピュータ・クラスに手紙爆弾ウイルス(私と同年代の方はご存知ですね)を仕掛けるのと変わりません。私の学生時代にはよくあるいたずらでした。その学生たちが成長し、急拡大するIT市場で職を得ると、中には雇い主に腹を立てる者もいました。そのとき、企業は社内から脅威が発生する可能性に気づき始めました。上司に腹が立ったからというだけで悪事を働く者が非常に多かったのです。彼らにとってはそれだけで、どんなに面倒な問題が起きようと、リスクを抱えることになろうと、気にもなりませんでした。金銭は関係ありません。実際、これは私の以前の職場で起きたことで、顧客のデータのほとんどが復元不可能なデータ損失を被るという結果になりました。その企業は何百万ドルもの損害を出し、犯人は刑務所行きに。動機は解雇されたことに対する怒りでした。
しかし今では、金銭が関係することによってすべてが変わろうとしています。身代金が支払われる可能性があるために、突然、それだけの危険を冒す本当の理由ができました。しかも、内部者は企業のビジネス・プロセスについて熟知しているため、その企業にとって最も重要なデータを含むシステムに狙いを定めることができ、企業は100万ドル単位の身代金を支払う以外に選択肢がなくなります。なぜなら、最終的にはこれが最も安く済む方法になるからです。
これは何を意味するのでしょう。まず、CIOはもはや誰も信用できなくなります。「お金で買えないものはない」ということわざは誰もが知っていますが、残念ながらこれは本当です。最高の道徳基準を身につけている人々でさえ、とても高額な報酬を提示されたときや、必要に迫られたとき(死に瀕している我が子のために高額な治療費が必要なとき)は、罪を犯すことに抗えない場合もあります。したがって、どの企業もIT戦略の中に「信頼」を含めることはできず、自社の従業員がごく単純な理由で引き起こす最悪の事態を想定して、常に備えをしなければなりません。
仮に、休暇に入ったばかりの同僚が中東のどこかの国から貴社のネットワークにリモートでログインし、すべてのオンライン・バックアップ(プライマリとそのコピーの両方)を消去して、本番サーバーにドロッパーを仕掛けたとしましょう。何か対策は立てていますか?銀行強盗をするよりも「貴社の」環境を引き込むほうが何千倍も簡単だとは思いませんか?考えてみてください。悲しいことに、ITスタッフに仕事をさせないようにする以外、これを本当に防ぐことはできないのです。
では、企業が内部者による脅威から身を守るためにできることは何でしょうか?その対策を3つの単語で表すと、エア・ギャップ・バックアップになります。いわゆるリモートで操作や削除ができない「オフライン」バックアップです。厳密な権限は効果がありません。正しい認証情報をキーロガーやソーシャル・エンジニアリングによって取得できるからです。しかし、重役の金庫にある外部ハード・ドライブやテープと同じくらい簡単なもので、この問題を完全に解決できます。データが大量にあってテープは使いたくないという場合はどうでしょうか?ファームウェアに”read-only-ness”を実装したストレージ・システムがありますが、物理的なセキュリティも確保する必要があります。あるいは、リモートで管理できない方法(インターネットに接続していないプライベート・ネットワーク上やテープ上など)でバックアップのコピーを保存するサービス・プロバイダーに依頼するのもいいでしょう。そうすれば、社内の誰もデータを削除できなくなります。
エア・ギャップ・バックアップの重要性については、VeeamON 2017のブレークアウト・セッションで詳しくお話しします。ですが、今すぐ行動を起こして今日中に対策を実行しましょう。明日では遅すぎるかもしれません。
P.S.この記事は、Veeam Community Forums Digestから紹介したものです。Veeamフォーラムにご登録いただくと、毎週最新の情報と技術に関するGostevの知見をご覧いただけます。
Veeamの注目製品・ソリューションはこちら