ランサムウェア対策

ランサムウェアは悪意を持って作成されたマルウェアで、ファイルやストレージを暗号化してしまいます。フィッシングメールなどをきっかけとして、ユーザーは知らないうちに組織への攻撃を許してしまうことがあります。サイバー犯罪者はこのマルウェアを使用して、組織に金銭を強要します。多くのランサムウェア攻撃では、本番やバックアップのファイルやドキュメントも全て見つけ出されます。そして、これらも同様に暗号化され、その組織にはサイバー犯罪者の要求に応じる以外の選択肢がなくなるのです。

Veeamのバックアップ製品は、シンプルで信頼性が高く、柔軟性に優れていることで知られています。この特徴が回復に向けた取り組みのカギとなります。ランサムウェアのインシデントにおける回復力は、Veeamバックアップ・インフラストラクチャ・ソリューションの実装方法、脅威の挙動、および脅威の修復時に取る方針に左右されます。

ランサムウェアからの回復力を高めるために推奨される実装については、次のガイダンスを参照してください。

• Veeam Backup & Replication™サーバーおよびコンポーネントの保護
• Veeamのランサムウェア検出機能の実装
• 回復力が非常に高いバックアップストレージと3-2-1ルール
• さまざまな復元方法の設定
• エンドポイント保護
• ネットワーク接続ストレージ（NAS）の保護
• Veeamのバックアップデータの暗号化
• バックアップおよびレプリカの復元のオーケストレーション

Veeamでは、ランサムウェアからの修復について次のアプローチをとっています。

身代金を支払わない。データをリストアする — これが唯一の選択肢です。ランサムウェアからの回復力を維持するためにあらゆる教育を行い、実装テクニックを用意していても、脅威が発生した場合のランサムウェアインシデントに対する防御を準備しておく必要があります。しかし、脅威が検出されたときに、具体的に何をすべきか考えていない場合もあるでしょう。ここでは、ランサムウェアインシデントが発生した場合に、思うままに修復を行うための推奨事項をいくつか紹介します。

VEEAMサポート
Veeamサポート組織には、ランサムウェアインシデントの発生時にお客様のデータリストアをサポートする特別なグループが存在します。バックアップを危険にさらしたくないからこそ、データを復元するためにこのサポートを受けることが重要です。

コミュニケーションファースト
あらゆる災害において、コミュニケーションが最初の課題となります。適切なユーザーとネットワーク帯域外で連絡を取る方法を計画しておきましょう。この計画にはグループ・テキスト・リスト、電話番号などのメカニズムを含めることが可能です。これらはオンコール（待機）サービスによく使用されていますが、IT業務グループ全体にも広がっています。

エキスパート
必要に応じて連絡できるように、セキュリティ、インシデント対応、ID管理などのチームのリストを用意しておきましょう。組織にエキスパートがいる場合もあれば、外部のエキスパートがいる場合もあります。Veeamサービスプロバイダーを使用する場合は、検討中の基本サービスにアドオンで付加価値を付けることができます（Veeam Cloud Connect Insider Protectionなど）。

一連の決定
あらゆる災害からの復元において、リストア、フェイルオーバーなどの決定権は誰にあるでしょうか。インシデントが発生した場合に一連の決定を行うことができるように、前もって決定権について話し合っておいてください。

リストアの準備
リストアが適している場合は、追加で安全確認を行ってからシステムを再度ネットワークに接続します。追加の手順には、最終確認のためにネットワークアクセスを無効にした状態でのリストアが含まれることがあります。

安全なリストア
Veeam Secure Restoreは、リストアの完了前にイメージのアンチウイルススキャンを実行します。Veeam Secure Restoreは、最新のアンチウイルスおよびマルウェア定義を使用します。確実に脅威が再侵入しないように、追加ツールを使用することもできます。

パスワードの強制リセット
ユーザーにとっては必ずしも好評な方法ではありませんが、パスワードを強制的に変更すると脅威が伝播する領域が縮小されます。