new generation data protection...new generation data protection powered by the acronis anydata...
TRANSCRIPT
New Generation Data Protection
Powered by the Acronis AnyData Engine
アクロニスランサムウェア対策のバックアップ
アクロニス・ジャパン株式会社
ランサムウェアとは
© 2016 Proprietary and Confidential 3
ランサムウェアとは
• 悪質なWebサイトやメールを介してPCのファイルやPCが接続しているファイルサーバー上のファイルを暗号化し、暗号を解くためのキーを渡す条件として身代金(ランサム/Ransom)を要求する不正プログラム
Webサイト
メール二次感染
© 2016 Proprietary and Confidential 4
おもなランサムウェアの種類• CRYPTESLA(TeslaCrypt)
– 日本でも2015年末から猛威をふるった通称vvvウイルス– ファイルを暗号化し、ファイル拡張子を「.vvv」に変更– 作者が2016年5月に複合キーを公開し終息宣言
• Locky– ファイルを暗号化し、ファイル拡張子を「.locky」に変更
• CryptoWall 4.0– ファイルを暗号化し、ファイル名とファイル拡張子をランダムに変更– Windowsのボリュームシャドーコピー機能を用いてすべてのシャドーコピーを削除– スタートアップ修復を無効化
• Petya– ファイル単位ではなくハードディスクをまるごと暗号化– PCが起動しなくなる
• CryptXXX– ファイルを暗号化し、ファイル拡張子を「.crypt」や「.cryp1」、「.crypz」に変更– 感染したPCのハードディスク内のビットコインや犯人にとって有用なデータを盗み出す
© 2016 Proprietary and Confidential 5
CRYPTESLA(TeslaCrypt)
1. 添付ファイル付のメールとして配信
2. 不正なJavaScriptを実行させる
3. 実行ファイルのダウンロード
4. 対象ファイルの暗号化
5. 請求情報の提示
12月売上.pdf ↓
12月売上.pdf.vvv
© 2016 Proprietary and Confidential 6
Locky
1. 添付ファイル付のメールとして配信
2. Wordファイル内のマクロを実行させる
3. 実行ファイルのダウンロード
4. 対象ファイルの暗号化
5. 請求情報の提示
12月売上.pdf↓
84E22087FF1A34D1B9CB22C3ADCA3952.locky
© 2016 Proprietary and Confidential 7
CryptoWall 4.0
1. 添付ファイル付のメールとして配信
2. 不正なJavaScriptを実行させる
3. 実行ファイルのダウンロード
4. シャドウコピー削除、スタートアップ修復を無効化
5. 対象ファイルの暗号化
6. 請求情報の提示
12月売上.pdf ↓
3s6kw0msg3.i34eu
© 2016 Proprietary and Confidential 8
Petya
1. 添付ファイル付のメールとして配信2. Dropbox内の自己解凍ファイルに誘導3. 実行ファイルのダウンロード4. MBR(Master Boot Record)の変更5. 再起動6. chkdsk7. MFT(Master File Table)の暗号化8. 請求情報の提示
OSが起動せずにドクロの画面が起動
参照元: https://blog.kaspersky.co.jp/petya-ransomware/10875/
© 2016 Proprietary and Confidential 9
CryptXXX
12月売上.pdf ↓
12月売上.pdf.crypt
1. 改ざんされたWebサイトやAnglerエクスプロイトキットが埋め込まれた不正広告を訪問
2. PC内でプログラムを作成
3. 対象ファイルの暗号化
4. 請求情報の提示
ランサムウェア対策のバックアップ
© 2016 Proprietary and Confidential 11
ランサムウェア対策
• セキュリティ
– PCやサーバー向けのエンドポイントセキュリティ製品を導入し、ウイルス定義データベースを最新にアップデートする
– OSやソフトウェアのアップデートを行い、最新のセキュリティパッチを適用する
– ファイルの拡張子を表示する設定にし、実行ファイルを判別できるようにする
– 高度な多層防御機能を搭載したセキュリティ製品を使用する
• バックアップ
– アクロニスのバックアップ製品で定期的にバックアップを取得する
© 2016 Proprietary and Confidential 12
なぜアクロニスのバックアップなのか
• CryptoWall4.0ではファイル名、拡張子がランダムに変更され、暗号化の対象ファイルは200種に及ぶため、ファイル単位のバックアップでは実質対応不可
• Cドライブ直下のファイルや、アプリケーションが使用するファイルなども被害に遭うため、ファイル単位のバックアップではなく、システムまるごとのイメージバックアップが有効
• PetyaではOS起動のしくみであるMBRやMFTが被害に遭うため、OSの再インストールが必要になるが、イメージバックアップを取得していれば感染前の状態にまるごと短時間で復元できる
© 2016 Proprietary and Confidential 13
アクロニスのイメージバックアップ• オペレーティングシステム、アプリケーション、
設定、すべてのファイルを含むシステムまるごと、ディスクまるごとをバックアップ
• アクロニスは提供実績10年以上、PCおよびサーバー向けイメージバックアップの提供実績豊富
ディスク構造
オペレーティングシステム
データ
旧来のデータバックアップ
アクロニスのイメージバックアップ
OS再インストール
サービスパック、
パッチ適用サーバー再設定
アプリケーション再インストール
バックアップからデータ復旧
バックアップ
イメージを復元
大幅な時間短縮で確実にシステムとデータを復元
旧来のデータバックアップとは復元にかかる時間がここまで異なり、感染前のバックアップした時点の状態にOS設定を含めてまるごと復元できる
© 2016 Proprietary and Confidential 14
バックアップ方法① Acronisセキュアゾーン
• 内部/外部ディスク上にAcronisのバックアップエージェントからのみアクセス可能な専用パーティションを設定
• Windows上ではボリュームマウントされない領域として確認される
• 内部データの管理はエージェント経由でのみ可能
• 更にセキュアゾーン領域にパスワードを設定することが可能
• 対象製品
– Acronis Backup、Acronis Backup Advanced
– Acronis True Image Cloud(個人向け製品)
Cドライブ Acronis専用パーティション
内部/外部ディスク
© 2016 Proprietary and Confidential 15
バックアップ方法① Acronisセキュアゾーン
• Windows 8での表示例
エージェントがインストールされている場合、エクスプローラから表示可能(操作は不可)
ドライブレターを持たないパーティションとしてOS上では認識される
© 2016 Proprietary and Confidential 16
バックアップ方法① Acronisセキュアゾーン• USB接続HDDでの利用
• 利点– 安価なUSB接続HDDにバックアップが可能
– 通常の利用領域とは別にパーティショニングが可能なため既存のHDD空き領域を活用できる
– OSからは操作不可のため、誤操作によるデータ損失も防止可能
• ランサムウェアによるバックアップアーカイブの改ざんを現在の環境で簡単設定で防止可能
© 2016 Proprietary and Confidential 17
バックアップ方法① Acronisセキュアゾーン• ローカルディスクでの利用
• 利点– 外付けHDDなどの購入ができない場合でも導入が可能
– 外付けHDDの持ち運びなどによるディスクの破損リスクがない
– 通常の利用領域とは別にパーティショニングが可能なため既存のHDD空き領域を活用できる
– OSからは操作不可のため、誤操作によるデータ損失も防止可能
• ランサムウェアによるバックアップアーカイブの改ざんを現在の環境で簡単設定で防ぐことが可能
Acronisセキュアゾーン
© 2016 Proprietary and Confidential 18
バックアップ方法① Acronisセキュアゾーン
• Acronisスタートアップリカバリマネージャ– ブータブルメディア不要の復元方法
バックアップ保存 再起動・エージェント起動 復元処理
Acronisセキュアゾーン
エージェント
Acronisセキュアゾーン
エージェント
バックアップデータ
バックアップデータ
Acronisセキュアゾーン
バックアップデータ
エージェント
© 2016 Proprietary and Confidential 19
バックアップ方法① Acronisセキュアゾーン• AcronisセキュアゾーンとAcronisスタートアップリカバリマネージャの
組み合わせによるバックアップ・復元
• 利点
– Acronisセキュアゾーンの長所を活かせる
– CD/DVDブートによる復元不要
– 空き領域を利用することで、現在の運用環境に変更を加えることなくバックアップ運用を組み入れることが可能
– OS上からの操作で復元が可能になることから、運用が簡素化される
• ランサムウェアによるバックアップアーカイブの改ざんを現在の運用環境を変えることなく、高いITスキルがなくても運用可能
© 2016 Proprietary and Confidential 20
バックアップ方法② クラウドバックアップ
クラウドストレージHTTPSで暗号化された経路内を独自のプロトコルで通信
• 独自のプロトコルで通信するアクロニスのクラウドストレージにバックアップを保存
• 対象製品– Acronis Backup to Cloud
• Acronis Backup、Acronis Backup Advancedのクラウドストレージオプション
– Acronis Backup Service– Acronis True Image Cloud(個人向け製品)
© 2016 Proprietary and Confidential 21
バックアップ方法② クラウドバックアップ
• アクロニスのクラウドバックアップの利点– オンプレミスにストレージを構築する必要がない
– 急激なデータ増加があってもスケールアウトが可能
– 転送時、バックアップ保存時の暗号化
• クライアントからバックアップ保存領域を直接参照せず、クラウドストレージへの接続は独自のプロトコルを用いることから、バックアップアーカイブのランサムウェア被害を完全に防止可能
© 2016 Proprietary and Confidential 22
バックアップ方法③ Acronisストレージノード• AcronisストレージノードはWindows上で動作するバックアップ
最適化用のアプリケーション• 仮想マシン上で動作させることも可能• 対象製品:Acronis Backup Advanced
SAS
iSCSI
SMB/CIFS
テープ
SAN/DAS
共有/NAS
独自プロトコル
Acronisストレージノード
各プロトコル
© 2016 Proprietary and Confidential 23
バックアップ方法③ Acronisストレージノード
• Acronisストレージノードの利点– 重複除外により保存するデータ量を削減することが可能
– バックアップアーカイブの処理を代行することによりバックアップエージェント側の負荷を軽減
– Windows上で動作するアプリケーションとして実装可能なことから、仮想環境、クラウドなどでも利用が可能
• クライアントからバックアップ保存領域を直接参照せず、Acronisストレージノードへの接続は独自のプロトコルを用いることからバックアップアーカイブのランサムウェア被害を完全に防止可能
製品ページ・お問い合わせ
© 2016 Proprietary and Confidential 25
製品ページ
• Acronis Backup– http://www.acronis.com/ja-jp/business/backup/
• Acronis Backup Advanced– http://www.acronis.com/ja-jp/business/backup-advanced/
• Acronis Backup to Cloud ※Acronis Backup、Acronis Backup Advanced のクラウドストレージオプション
– http://www.acronis.com/ja-jp/cloud/backup/
• Acronis Backup Service ※ただいま35%割引キャンペーン中
– http://www.acronisjp.info/lp/backup_service/
• Acronis True Image Cloud(個人向け製品)– http://www.acronis.com/ja-jp/personal/online-backup/
© 2016 Proprietary and Confidential 26
お問い合わせ
• ランサムウェア対策のアクロニスのバックアップ製品選定のご相談はこちらまで
– アクロニスセールスインフォメーションセンターTEL:03-6430-1423 FAX:03-6430-1401受付時間:9:00~12:00 13:00~18:00※土、日、祝日、年末年始を除くhttp://www.acronis.co.jp/inq/
www.acronis.com
New Generation Data Protection
Powered by the Acronis AnyData Engine
twitter.com/Acronis_Japan
blog.acronis.co.jp
facebook.com/acronisjapan