New Generation Data Protection...New Generation Data Protection Powered by the Acronis AnyData...

New Generation Data Protection

Powered by the Acronis AnyData Engine

アクロニスランサムウェア対策のバックアップ

アクロニス・ジャパン株式会社

ランサムウェアとは

© 2016 Proprietary and Confidential 3

ランサムウェアとは

• 悪質なWebサイトやメールを介してPCのファイルやPCが接続しているファイルサーバー上のファイルを暗号化し、暗号を解くためのキーを渡す条件として身代金（ランサム/Ransom）を要求する不正プログラム

Webサイト

メール二次感染


おもなランサムウェアの種類• CRYPTESLA（TeslaCrypt）

– 日本でも2015年末から猛威をふるった通称vvvウイルス– ファイルを暗号化し、ファイル拡張子を「.vvv」に変更– 作者が2016年５月に複合キーを公開し終息宣言

• Locky– ファイルを暗号化し、ファイル拡張子を「.locky」に変更

• CryptoWall 4.0– ファイルを暗号化し、ファイル名とファイル拡張子をランダムに変更– Windowsのボリュームシャドーコピー機能を用いてすべてのシャドーコピーを削除– スタートアップ修復を無効化

• Petya– ファイル単位ではなくハードディスクをまるごと暗号化– PCが起動しなくなる

• CryptXXX– ファイルを暗号化し、ファイル拡張子を「.crypt」や「.cryp1」、「.crypz」に変更– 感染したPCのハードディスク内のビットコインや犯人にとって有用なデータを盗み出す


CRYPTESLA（TeslaCrypt）

1. 添付ファイル付のメールとして配信

2. 不正なJavaScriptを実行させる

3. 実行ファイルのダウンロード

4. 対象ファイルの暗号化

5. 請求情報の提示

12月売上.pdf ↓

12月売上.pdf.vvv


Locky


2. Wordファイル内のマクロを実行させる




12月売上.pdf↓

84E22087FF1A34D1B9CB22C3ADCA3952.locky


CryptoWall 4.0


2. 不正なJavaScriptを実行させる


4. シャドウコピー削除、スタートアップ修復を無効化



12月売上.pdf ↓

3s6kw0msg3.i34eu


Petya

1. 添付ファイル付のメールとして配信2. Dropbox内の自己解凍ファイルに誘導3. 実行ファイルのダウンロード4. MBR（Master Boot Record）の変更5. 再起動6. chkdsk7. MFT（Master File Table）の暗号化8. 請求情報の提示

OSが起動せずにドクロの画面が起動

参照元： https://blog.kaspersky.co.jp/petya-ransomware/10875/


CryptXXX

12月売上.pdf ↓

12月売上.pdf.crypt

1. 改ざんされたWebサイトやAnglerエクスプロイトキットが埋め込まれた不正広告を訪問

2. PC内でプログラムを作成



ランサムウェア対策のバックアップ


ランサムウェア対策

• セキュリティ

– PCやサーバー向けのエンドポイントセキュリティ製品を導入し、ウイルス定義データベースを最新にアップデートする

– OSやソフトウェアのアップデートを行い、最新のセキュリティパッチを適用する

– ファイルの拡張子を表示する設定にし、実行ファイルを判別できるようにする

– 高度な多層防御機能を搭載したセキュリティ製品を使用する

• バックアップ

– アクロニスのバックアップ製品で定期的にバックアップを取得する


なぜアクロニスのバックアップなのか

• CryptoWall4.0ではファイル名、拡張子がランダムに変更され、暗号化の対象ファイルは200種に及ぶため、ファイル単位のバックアップでは実質対応不可

• Cドライブ直下のファイルや、アプリケーションが使用するファイルなども被害に遭うため、ファイル単位のバックアップではなく、システムまるごとのイメージバックアップが有効

• PetyaではOS起動のしくみであるMBRやMFTが被害に遭うため、OSの再インストールが必要になるが、イメージバックアップを取得していれば感染前の状態にまるごと短時間で復元できる


アクロニスのイメージバックアップ• オペレーティングシステム、アプリケーション、

設定、すべてのファイルを含むシステムまるごと、ディスクまるごとをバックアップ

• アクロニスは提供実績10年以上、PCおよびサーバー向けイメージバックアップの提供実績豊富

ディスク構造

オペレーティングシステム

データ

旧来のデータバックアップ

アクロニスのイメージバックアップ

OS再インストール

サービスパック、

パッチ適用サーバー再設定

アプリケーション再インストール

バックアップからデータ復旧

バックアップ

イメージを復元

大幅な時間短縮で確実にシステムとデータを復元

旧来のデータバックアップとは復元にかかる時間がここまで異なり、感染前のバックアップした時点の状態にOS設定を含めてまるごと復元できる


バックアップ方法① Acronisセキュアゾーン

• 内部/外部ディスク上にAcronisのバックアップエージェントからのみアクセス可能な専用パーティションを設定

• Windows上ではボリュームマウントされない領域として確認される

• 内部データの管理はエージェント経由でのみ可能

• 更にセキュアゾーン領域にパスワードを設定することが可能

• 対象製品

– Acronis Backup、Acronis Backup Advanced

– Acronis True Image Cloud（個人向け製品）

Cドライブ Acronis専用パーティション

内部/外部ディスク



• Windows 8での表示例

エージェントがインストールされている場合、エクスプローラから表示可能（操作は不可）

ドライブレターを持たないパーティションとしてOS上では認識される


バックアップ方法① Acronisセキュアゾーン• USB接続HDDでの利用

• 利点– 安価なUSB接続HDDにバックアップが可能

– 通常の利用領域とは別にパーティショニングが可能なため既存のHDD空き領域を活用できる

– OSからは操作不可のため、誤操作によるデータ損失も防止可能

• ランサムウェアによるバックアップアーカイブの改ざんを現在の環境で簡単設定で防止可能


バックアップ方法① Acronisセキュアゾーン• ローカルディスクでの利用

• 利点– 外付けHDDなどの購入ができない場合でも導入が可能

– 外付けHDDの持ち運びなどによるディスクの破損リスクがない

– 通常の利用領域とは別にパーティショニングが可能なため既存のHDD空き領域を活用できる

– OSからは操作不可のため、誤操作によるデータ損失も防止可能

• ランサムウェアによるバックアップアーカイブの改ざんを現在の環境で簡単設定で防ぐことが可能

Acronisセキュアゾーン



• Acronisスタートアップリカバリマネージャ– ブータブルメディア不要の復元方法

バックアップ保存再起動・エージェント起動復元処理


エージェント


エージェント

バックアップデータ




エージェント


バックアップ方法① Acronisセキュアゾーン• AcronisセキュアゾーンとAcronisスタートアップリカバリマネージャの

組み合わせによるバックアップ・復元

• 利点

– Acronisセキュアゾーンの長所を活かせる

– CD/DVDブートによる復元不要

– 空き領域を利用することで、現在の運用環境に変更を加えることなくバックアップ運用を組み入れることが可能

– OS上からの操作で復元が可能になることから、運用が簡素化される

• ランサムウェアによるバックアップアーカイブの改ざんを現在の運用環境を変えることなく、高いITスキルがなくても運用可能


バックアップ方法② クラウドバックアップ

クラウドストレージHTTPSで暗号化された経路内を独自のプロトコルで通信

• 独自のプロトコルで通信するアクロニスのクラウドストレージにバックアップを保存

• 対象製品– Acronis Backup to Cloud

• Acronis Backup、Acronis Backup Advancedのクラウドストレージオプション

– Acronis Backup Service– Acronis True Image Cloud（個人向け製品）


バックアップ方法② クラウドバックアップ

• アクロニスのクラウドバックアップの利点– オンプレミスにストレージを構築する必要がない

– 急激なデータ増加があってもスケールアウトが可能

– 転送時、バックアップ保存時の暗号化

• クライアントからバックアップ保存領域を直接参照せず、クラウドストレージへの接続は独自のプロトコルを用いることから、バックアップアーカイブのランサムウェア被害を完全に防止可能


バックアップ方法③ Acronisストレージノード• AcronisストレージノードはWindows上で動作するバックアップ

最適化用のアプリケーション• 仮想マシン上で動作させることも可能• 対象製品：Acronis Backup Advanced

SAS

iSCSI

SMB/CIFS

テープ

SAN/DAS

共有/NAS

独自プロトコル

Acronisストレージノード

各プロトコル


バックアップ方法③ Acronisストレージノード

• Acronisストレージノードの利点– 重複除外により保存するデータ量を削減することが可能

– バックアップアーカイブの処理を代行することによりバックアップエージェント側の負荷を軽減

– Windows上で動作するアプリケーションとして実装可能なことから、仮想環境、クラウドなどでも利用が可能

• クライアントからバックアップ保存領域を直接参照せず、Acronisストレージノードへの接続は独自のプロトコルを用いることからバックアップアーカイブのランサムウェア被害を完全に防止可能

製品ページ・お問い合わせ


製品ページ

• Acronis Backup– http://www.acronis.com/ja-jp/business/backup/

• Acronis Backup Advanced– http://www.acronis.com/ja-jp/business/backup-advanced/

• Acronis Backup to Cloud ※Acronis Backup、Acronis Backup Advanced のクラウドストレージオプション

– http://www.acronis.com/ja-jp/cloud/backup/

• Acronis Backup Service ※ただいま35%割引キャンペーン中

– http://www.acronisjp.info/lp/backup_service/

• Acronis True Image Cloud（個人向け製品）– http://www.acronis.com/ja-jp/personal/online-backup/

http://www.acronis.com/ja-jp/business/backup/

http://www.acronis.com/ja-jp/business/backup-advanced/

http://www.acronis.com/ja-jp/cloud/backup/

http://www.acronisjp.info/lp/backup_service/

http://www.acronis.com/ja-jp/personal/online-backup/


お問い合わせ

• ランサムウェア対策のアクロニスのバックアップ製品選定のご相談はこちらまで

– アクロニスセールスインフォメーションセンターTEL：03-6430-1423 FAX：03-6430-1401受付時間：9:00～12:00 13:00～18:00※土、日、祝日、年末年始を除くhttp://www.acronis.co.jp/inq/

http://www.acronis.co.jp/inq/

www.acronis.com

New Generation Data Protection

Powered by the Acronis AnyData Engine

twitter.com/Acronis_Japan

blog.acronis.co.jp

facebook.com/acronisjapan

http://twitter.com/acronis

http://blog.acronis.com

http://facebook.com/acronis

New Generation Data Protection...New Generation Data Protection Powered by the Acronis AnyData...

Documents

Transcript of New Generation Data Protection...New Generation Data Protection Powered by the Acronis AnyData...