Scribble at 2024-10-22 12:09:02 Last modified: 2024-10-22 12:10:48

添付画像

Microsoft 365 テナントに対するランサムウェア攻撃の前提は、攻撃者がテナントに対して有効なユーザー アカウント資格情報を持ち、ユーザー アカウントに対して許可されているすべてのファイルとリソースにアクセスできると想定していることです。

Microsoft 365 テナントにランサムウェア保護を展開する

クラウド・ストレージを利用しているときに、ランサムウェアの攻撃で資産が被害を受けるという想定で何らかの対策を採るとすれば、やはりバックアップが最善策だろうと思うんだよね。そして、それは必ず別のインフラで運用されている別のサービスへのバックアップでなくてはいけない。弊社の場合、会社全体では Dropbox を利用していて、Google Workspace の契約は最小限のプランだから Google Drive にはファイルを置けない(メールで使う容量が優先する)。この状況で攻撃されることを想定すると、もしマイクロソフトが上記の但し書きのように正規のアカウント情報が漏洩していて、攻撃者は正規のアカウントとしてログインしたり操作できるというなら、不審なログインとか、不審なファイル操作についてのアラートを受けて、該当するアカウントのアクセスを一時的に停止するのが第一の手順だろう。もちろん、奪われたアカウントが法人契約全体の管理をしている(つまり僕が運用している)ロールのアカウントであれば、たぶん攻撃者にパスワードを変更されていて僕自身はサイン・インできなくなっている恐れがあるので、パスワードの再設定なんてやっても意味がないから、クラウド・サービスの運営側に全てのアカウントを遮断してもらうしかないだろう。ただ、そういう攻撃パターンというのはランサムウェアに限ったケースだけに当てはまるわけではない。

ふつう、ランサムウェアのケースとしては、クラウド・ストレージにアクセスできる従業員のクライアント・マシンがマルウェアに感染して、クライアント・マシンで不正に暗号化されたファイルがクラウド側にアップロードされるというパターンが多いだろう。あるいは社内のネットワークを介して、社内のファイル・サーバに暗号化されたファイルが上書きされていくとか、それともファイル・サーバが感染するとか、そういったパターンだ。そして、どういう仕方であれ感染したと判明すれば、ファイル・サーバを含めて全てのクライアント・マシンのネットワーク接続を遮断することが第一の対応になり、ストレージがクラウドであればブラウザでアクセスして対処したり、社内 LAN にぶら下がっている NAS やファイル・サーバであれば、コンソールで接続するか、またはマシンを直に操作して状況を把握することになるだろう。もちろんだが、ファイル・サーバの OS 上でランサムウェアが動作している場合は、被害の拡大を防ぐためにマシンを停止したまま、いったんストレージ機器を引き出しておく。そこからファイルを拾い上げるときは、サルベージ業者に依頼すると高額になるので、自分で暗号化されていないファイルを拾い上げるなら、まずストレージ全体を読み取り専用にしてから作業することを勧める。

で、クラウド・ストレージを利用していようと社内のサーバ・ルームにファイル・サーバを置いていようと、冒頭で述べたように別の経路でバックアップをとることが必須だと思う。弊社の場合は、バック・オフィスの経理や財務や人事で利用しているファイルだけだが、1時間おきに Dropbox から社内の NAS にミラーリングしていて、そこから更にストレージだけのために Google Workspace とは別に契約している Google Drive へファイルを同期している。ただし、Dropbox と同期しているフォルダを Google Drive とも同期させると、同期のタイミングがコントロールできないので、NAS の内部でわざと別のフォルダを Google Drive と同期するように分けていて、そのフォルダへのファイル転送は1日おきという具合に同期する頻度をわざと下げている。

同期する頻度をわざと下げる理由は、クラウド・ストレージのランサムウェア対策として知られている「ファイルの変更履歴から復元できる」という仕様は、実はそれほど安全な対策ではないからだ。いまどきのランサムウェアなんて、クラウド・ストレージを利用していることが前提で攻撃するように設計されているので、たとえば上のページで Microsoft 365 は「最低でも 500 以上のバージョンのファイルを保持」すると言っているけれど、もし僕がランサムウェアを設計するなら、暗号化する対象のファイルなりフォルダを1分ごとに再帰的に暗号化するようにプログラミングすると思う。つまり、履歴が500個だろうと半日もたたずに履歴が全て感染したファイルに置き換わってしまうのだ。よって、履歴から復旧できるというクラウド・サービスの仕様は、僕のような低レベルの攻撃者が思いつく程度のプログラミングで簡単に意味を為さなくなる。したがって、わざと同期のタイミングを遅くした、別の経路でのバックアップが望ましいというのが、僕の結論だ。(ちなみに、同じファイルを僕自身のマシンにぶら下げた外付けの HDD にもコピーしていて、そちらは7日ごとの同期になっている。そこから復旧させるにしても7日前のファイルなんて古いと思われるかもしれないが、全く復旧できないよりは絶対にマシだろう。)

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る