CyberFix Noteランサムウェア被害からの復旧とバックアップ設計。3-2-1とイミュータブルで「戻せる」備えをつくる
対象の目安: 情報システム担当・運用担当 / 実務レベル
ランサムウェアの被害が起きたとき、最終的に組織を救うのはバックアップです。攻撃者がファイルを暗号化してしまうと、その復号鍵は攻撃者しか持っておらず、技術的に自力でデータを取り戻す手段はほとんど残りません。だからこそ「侵入されても戻せる」状態を先につくっておくことが、被害を事業の停止ではなく一時的な不便にとどめる分かれ目になります。
ところが、バックアップは「取っていれば安心」という性質のものではありません。攻撃者は復旧を妨げるために、暗号化の前にバックアップそのものを探して破壊・暗号化しようとします。本番系と同じネットワークに常時つながり、同じ管理者権限で書き換えられるバックアップは、本番もろとも巻き込まれる「あるようでないバックアップ」になりかねません。実際、侵入後にまずバックアップの破壊・暗号化を狙う攻撃が広く確認されており、バックアップは守るべき対象そのものになっています。
この記事は、ランサムウェア被害からの復旧という観点に絞り、バックアップ設計の指針である3-2-1ルール、攻撃者から切り離すための隔離とイミュータブル(変更不可)の考え方、そして「本当に戻せるか」を確かめる復旧訓練までを、運用担当者が自分の環境に当てはめて判断できる粒度で解説します。感染経路や二重恐喝など侵入を防ぐ側の話は あわせて読みたい ランサムウェアの感染経路と被害最小化。初期侵入を断ち、復旧できる備えをつくる
まず押さえる早見表
復旧の備えは、「複製をどう持つか」「攻撃者からどう切り離すか」「本当に戻せるかをどう確かめるか」の3点に集約できます。全体像を一枚で把握しておきます。
| 観点 | 何を決めるか | ランサムウェア復旧での意味 |
|---|---|---|
| 複製の数と媒体 | 何世代を何種類の媒体に持つか | 1つが暗号化・破壊されても残りで復旧できる |
| 隔離 | どの退避先を攻撃者から切り離すか | ネットワーク経由の攻撃が届かない復旧元を確保する |
| 変更不可(イミュータブル) | 一定期間の書き換え・削除を禁止するか | 管理者権限を奪われてもバックアップを消されない |
| 復旧目標 | RTO(復旧時間)とRPO(戻せる時点)をいくつにするか | 業務影響に見合う頻度・世代数を逆算できる |
| 訓練 | どの頻度で実リストアを試すか | 「戻せない」を本番前に発見できる |
これらは独立した施策ではなく、上から順に積み上げる前提です。隔離やイミュータブルがないまま世代数だけ増やしても、攻撃者にまとめて消されれば意味がありません。逆に、隔離された退避先があっても復旧テストをしていなければ、いざというときに戻せない可能性が残ります。
なぜバックアップが復旧の本命なのか
ランサムウェアの暗号化は、強力な暗号アルゴリズムを使ってファイルをロックします。復号には攻撃者が握る鍵が必要で、鍵がなければ現実的な時間で解くことはできません。つまり、暗号化されてしまったデータを技術的に元へ戻す道は、原理的にほぼ閉ざされています。例外として、特定のランサムウェアでは「No More Ransom」などで無償の復号ツールが公開される場合がありますが、これは攻撃主体の活動停止や専門家の解析に依存し、自分の被害に必ず使えるわけではありません。そのため実務上、残された選択肢は「攻撃者に身代金を払って鍵をもらう」か「自前の正常なバックアップから戻す」かに絞られますが、前者は犯罪者との取引であり、払っても完全に復旧する保証はなく、攻撃を助長する問題もあります。
JPCERT/CCの「侵入型ランサムウェア攻撃を受けたら読むFAQ」も、復旧の基本方針として、身代金の支払いに頼るのではなく、影響範囲を把握して被害を最小化し、侵入経路を塞いだうえでバックアップから復旧することを示しています。ここで重要なのは順序で、侵入経路を塞ぐ前にバックアップから戻すと、攻撃者がまだ内部に残っていて再び暗号化されるおそれがあります。
この前提に立つと、バックアップは「保険」ではなく復旧の中核装置です。そして攻撃者もそれを知っているからこそ、バックアップを真っ先に狙います。だからバックアップ設計は、単に容量や頻度を決める運用作業ではなく、「攻撃者からどう守るか」というセキュリティ設計として考える必要があります。
3-2-1ルール ― 複製の持ち方の基本
バックアップ設計の出発点として広く使われるのが「3-2-1ルール」です。元はデータ消失全般に備える一般的な指針ですが、ランサムウェアの文脈でも土台として有効です。数字の意味を分解します。
| 数字 | 意味 | ランサムウェア観点での狙い |
|---|---|---|
| 3 | データの複製を3つ持つ(本番+バックアップ2つ) | 1つが暗号化・破壊されても残りで復旧できる |
| 2 | 2種類の異なる媒体に保存する | 単一の故障・障害や同一経路の攻撃で全滅しない |
| 1 | うち1つはオフサイト(別拠点)に置く | 拠点災害に加え、隔離と組み合わせればネットワーク経由の攻撃も届きにくくなる |
ただし注意したいのは、3-2-1の「1」が指すのは本来「別拠点(オフサイト)」であって、それだけではネットワーク経由の攻撃から切り離されているとは限らない点です。オフサイトであっても本番系とつながっていれば、攻撃者の権限でそこまで到達され得ます。ランサムウェア対策で決定的に重要なのは、このオフサイトに加えて「攻撃者から切り離す(オフラインまたはイミュータブル)」退避先を確保することです。常時マウントされたNASにだけバックアップを取っている状態は、たとえ別拠点にあっても切り離しの観点では不十分で、本番を暗号化した攻撃者の権限でそのままNASも暗号化され得ます。NAS活用時の落とし穴は あわせて読みたい ランサム対策に効くバックアップ機器(NAS)の選び方。隔離とスナップショットで復旧力を残す
近年は、この3-2-1を補強した「3-2-1-1-0」という言い方も使われます。末尾に「1つは隔離(オフラインまたはイミュータブル)」と「0(復旧テストでエラーゼロを確認)」を足したもので、ランサムウェア時代の実務感覚に合った拡張です。数字の語呂を覚えることが目的ではなく、複製・媒体分散・隔離・検証という4つの要素を漏れなく満たすことが本質だと理解してください。
メモ
クラウドの同期ストレージ(オンラインストレージの自動同期)は、バックアップと混同されがちですが別物です。同期は手元の変更を即座にクラウドへ反映するため、暗号化されたファイルもそのまま同期され、上書きされてしまうことがあります。バージョン履歴や復元機能の保持期間を確認し、必要なら独立したバックアップを別に用意してください。
隔離とイミュータブル ― 攻撃者の手が届かない退避先
「攻撃者から切り離す」には、大きく分けて2つのアプローチがあります。物理的・時間的に切り離す「隔離(オフライン・エアギャップ)」と、書き換え自体を禁止する「イミュータブル(変更不可)」です。
隔離は、バックアップを取得する時以外はネットワークや本番系から切り離しておく方法です。テープや外付けストレージにバックアップを取り、取得後は物理的に接続を外して保管庫にしまうのが典型例です。攻撃者の侵入経路がネットワーク越しである以上、線がつながっていない退避先には手が届きません。古典的ですが、ランサムウェアに対しては今も強力です。一方で、人手の運用に依存するため、付け替えを忘れる・接続したまま放置するといった運用ミスで効果が消える点に注意が必要です。
イミュータブルは、ストレージ側の機能で「一定の保持期間は書き換えも削除もできない」状態を作る方法です。クラウドのオブジェクトストレージで使えるオブジェクトロック(WORM: Write Once Read Many)や、専用バックアップ装置のイミュータブル機能が該当します。狙いは「管理者権限を奪われてもバックアップを消されない」ことですが、その強度はモードの選び方に依存する点に注意が必要です。たとえばAWS S3のオブジェクトロックには、特別な権限(Governance bypass)を持つ利用者なら保持を上書きできるガバナンスモードと、ルート権限でも保持期間中は削除できないコンプライアンスモードがあり、攻撃者による削除に確実に抗するには後者のように適切にロックされた設定が要ります。そのうえで、保持期間の設定や、バックアップ系の認証を本番系と分離する設計、bypass権限の最小化を正しく行わないと効果が損なわれます。常時オンラインのまま守れるため運用負荷が低いのが利点です。
実務では、この2つを組み合わせるのが堅実です。たとえば日次は本番近くの高速なストレージへ、週次・月次は隔離またはイミュータブルな退避先へ、というように頻度と隔離度を変えて多層に持ちます。こうしておけば、軽微な障害は手近なバックアップですばやく戻し、ランサムウェアのような全体被害には隔離済みの退避先で戻す、と使い分けられます。
バックアップは毎日取れていて安心していた。だが退避先のNASが業務ネットワークに常時つながったままで、別の認証も切っていなかった。被害に遭ったとき、本番だけでなくそのNASのバックアップまで暗号化されていて、戻せる世代がほとんど残っていなかった。
この声が示すのは、「バックアップを取っているか」ではなく「そのバックアップは攻撃者から切り離されているか」が成否を分けるという点です。退避先の認証を本番と別系統にする、取得後に接続を切る、イミュータブルの保持期間を設けるといった一手間が、復旧できるかどうかを決めます。
注意
バックアップ系の認証情報(管理者アカウント、APIキー、クラウドの認証)を本番系と共有していると、本番の管理者権限を奪った攻撃者がそのままバックアップにも到達できます。バックアップ系は独立した認証とアクセス経路を持たせ、多要素認証(MFA)を必須にしてください。隔離やイミュータブルの効果は、この認証分離があって初めて成立します。
RTOとRPO ― 復旧目標から頻度と世代数を逆算する
バックアップの頻度や世代数を「なんとなく日次で1週間分」と決めていないでしょうか。本来は、業務が許容できる復旧の条件から逆算します。ここで使う2つの指標がRTOとRPOです。
RTO(Recovery Time Objective、目標復旧時間)は、被害発生から業務を再開するまでに許容できる時間です。RTOが短いほど、復旧を高速化する仕組み(手近で速いバックアップ、リストア手順の自動化、予備環境の確保など)に投資する必要があります。RPO(Recovery Point Objective、目標復旧時点)は、どの時点まで戻せれば許容できるか、言い換えると失ってもよいデータの最大幅です。RPOを小さくしたいほど、バックアップの取得間隔を短くする必要があります。
たとえば「半日分のデータ消失までは許容できる」業務ならRPOは半日で、最低でも半日に一度はバックアップを取る設計になります。「2日以内に復旧できればよい」ならRTOは2日で、その時間内に隔離済みバックアップから戻し切れる手順と体制を用意します。重要なのは、この2つを業務の重要度ごとに分けて決めることです。基幹システムと一時ファイルでは許容できる損失も停止時間も違うため、一律の頻度・世代数で運用すると、過剰な箇所と不足する箇所が同時に生まれます。
ヒント
ランサムウェアでは「戻したい時点」が攻撃直前とは限らない点に注意してください。攻撃者は侵入してから暗号化までの間に内部を探索しており、その間のバックアップにはすでに不正な変更やマルウェアが含まれている可能性があります。複数世代を保持し、いつの時点から異常が始まったかを調査したうえで、安全な世代まで遡って戻せるようにしておくことが大切です。
復旧訓練 ― 「取れている」と「戻せる」は別物
バックアップ設計で最も軽視されがちで、しかし最も効くのが復旧訓練です。バックアップは取得が完了した時点では「取れている」ように見えても、ファイルが壊れている、世代が足りない、リストア手順が分からず時間がかかる、といった理由で「戻せない」ことが珍しくありません。これらは実際に戻してみて初めて発覚します。
NISTのCybersecurityFramework(CSF)でも、バックアップは作成して保護するだけでなく、維持しテストすることが求められています。復旧訓練は思いつきで行うのではなく、本番とは隔離した検証環境へ実際にリストアし、業務が再開できる状態まで戻せるかを確かめます。このとき、RTO(どれだけ時間がかかったか)とRPO(どの時点まで戻せたか)を実測し、設計値と乖離していれば頻度や手順を見直します。
- 1
復旧対象と優先順位を決める
すべてを同時には戻せません。事業継続に直結する基幹システムから戻す順序を、RTO/RPOに基づいて事前に決めておきます。
- 2
隔離した検証環境へ実際にリストアする
本番に影響しない環境で、隔離済みバックアップから実際に復元します。手順書どおりに、担当者以外でも実行できるかを確認します。
- 3
復旧時間と復旧時点を実測する
リストアにかかった時間(実RTO)と、戻せた時点(実RPO)を記録し、設計値と比較します。乖離があれば頻度・世代数・手順を見直します。
- 4
侵入経路を塞いでから本番復旧する手順を確認する
本番では、攻撃者がまだ内部に残っている可能性があります。経路の遮断と封じ込めを終えてから復旧する順序を、訓練のシナリオに含めておきます。
訓練は年に一度の儀式にせず、システム構成やバックアップ方式を変えたタイミングでも実施するのが望ましい運用です。構成変更でバックアップ対象から漏れた領域が生まれることはよくあり、それは実際に戻してみないと気づけません。
検証は許可された環境で ― 関連法令への注意
ランサムウェアの挙動を理解するために、検体や攻撃手法を扱いたくなることがあります。しかし、マルウェア検体の実行や攻撃手法の検証は、自分が管理する環境または明示的に許可を得た対象でのみ行ってください。他人のシステムやネットワークに対する無許可のアクセス・操作は、不正アクセス禁止法をはじめとする関連法令に抵触するおそれがあります。バックアップの復旧訓練も、必ず自組織の正規の手続きと検証環境の範囲内で実施してください。
注意
復旧訓練やリストアの検証は、必ず自社の検証環境・本番環境に対して正規の権限の範囲で行ってください。検体を扱う場合も、隔離された自己管理の環境に限定します。第三者の環境に対する無許可の操作は法令違反となる可能性があり、絶対に行わないでください。
よくある質問
バックアップを取っていれば身代金を払わずに済みますか。
イミュータブルとオフライン、どちらを選ぶべきですか。
クラウドストレージへ同期していれば安全ですか。
復旧テストはどのくらいの頻度で行うべきですか。
復旧したらすぐ業務を再開してよいですか。
まとめ
ランサムウェア復旧・バックアップ設計チェックリスト
- 3-2-1を土台に、複製の数・媒体分散・隔離を満たしているか
- オフラインまたはイミュータブルな退避先を最低1つ確保しているか
- バックアップ系の認証・アクセス経路を本番系と分離し、MFAを必須化しているか
- 業務の重要度ごとにRTO/RPOを決め、頻度と世代数を逆算しているか
- 隔離環境への実リストアで復旧時間・復旧時点を実測する訓練を定期的に行っているか
- 侵入経路を塞いでから復旧する順序を手順化し訓練に含めているか
ランサムウェアからの復旧は、暗号化された後に何とかするものではなく、暗号化される前にどれだけ「戻せる備え」を積んでおいたかで決まります。3-2-1を土台に、攻撃者から切り離した退避先(オフラインまたはイミュータブル)を確保し、認証を本番と分離する。そのうえで、業務に見合うRTO/RPOを決め、実際に戻せることを訓練で確かめておく。この一連が揃って初めて、バックアップは復旧の頼みの綱になります。侵入を防ぐ側の対策とあわせて備えるために、 あわせて読みたい ランサムウェアの感染経路と被害最小化。初期侵入を断ち、復旧できる備えをつくる あわせて読みたい ランサム対策に効くバックアップ機器(NAS)の選び方。隔離とスナップショットで復旧力を残す
出典・参考
関連する記事
ランサムウェアの感染経路と被害最小化。初期侵入を断ち、復旧できる備えをつくる
ランサムウェア被害の大半はVPNやリモートデスクトップからの侵入で起きます。初期侵入経路、二重恐喝の仕組み、そしてバックアップと隔離による被害最小化を、実務で判断できる粒度まで噛み砕いて解説します。
ランサム対策に効くバックアップ機器(NAS)の選び方。隔離とスナップショットで復旧力を残す
ランサムウェアはバックアップごと破壊しにいきます。だからNAS選びの軸は容量より「隔離」と「変更不可スナップショット」。3-2-1の原則から実在製品の見極めまで、経営と現場の判断材料を実務目線でまとめます。
ログからの侵害調査(フォレンジック)の基本。証拠保全とタイムライン再構成
インシデント発生後の侵害調査を、証拠保全・揮発性の順序・タイムライン再構成・痕跡の読み方という観点から原理ごと整理します。後で証拠にならない調査を避けるための実務の判断基準を具体的に示します。