RAID1のNASがランサムウェアにより暗号化
データが取り出せないか
症状
RAID1で運用していたNASネットーワークディスクがランサムウェアに暗号化されたので戻すことはできないか。一度見に来てほしい。
弊社ではランサムウェアによる暗号化の復号技術を持ち合わせていない為、恐らく無理ですよ、ということでお断りしたが、一度お越し願いたいとうことでしたので、診にお伺いしました。念の為、被害を広げないようにネットワークから切り離すため、LANケーブルを物理的に抜いておいてもらいました。
ランサムウェアを復号してくれるサービスがあるが、弊社では基本、復号はできません。
以前はデータ復旧の一手段としてRAW救出(拡張子によりヘッダに固有の情報が書き込まれているのでその文字列をディスク全体を走査し検出する救出パターン)で戻すこともできたことがありましたが現在はほぼダメ。また、ビットコインで復号キーを購入すれば実際に戻せたという例もあったようです。(しかし、一度、相手の要求を飲むと更にターゲットにされてしまう可能性は高くなるでしょう。)
どのようにバックアップを計画するか
ネットワークディスクNASの場合
対処
今回はあまり費用をかけることはできないから複合はあきらめるが、今後の対策を行ってほしい。というご要望をいただきました。今回はQNAP製の4台内蔵モデルを使用しました。PCI_eカードスロットを搭載していて、SSDをキャッシュに使用できるもでるです。また、QNAPを選ぶのは、動作が安定しているのと、管理のしやすさ、外部からの監視も設定次第で可能になりますので、データを保護するという意味で、おすすめしています。
1 内部で冗長性を持たせる
3台でRAID5構成にし、1台はスペアで待機させます。ですから、HDDが2台が壊れてもデータは保護されている構成です。
2 物理的に異なる筐体にバックアップする
外付けのUSB接続タイプのHDDにバックアップをする予定でしたが、クラウドを使用して物理的に全く異なる場所にも置いておきたいということで、外付けには行わないことになりました。内部で2台の冗長性を持たせてあるから、それでもいいですね。
3 時間差を設けてバックアップする
今回はランサムウェアに侵害されたので、この点が一番の重要解決ポイントです。
QNAPは今のファームウェアでは「スナップショット」という、変更した部分を保存しておく機能があります。今回のランサムウェアのように書き換えられても保存設定した期間内であれば正常だった時の状態に戻せます。また、削除したり(これはゴミ箱機能でもいいのですが・・)間違えて編集してしまったりという操作ミスの時に役に立ちます。結構、こういったミスは起こるので非常に便利です。Windowsサーバで言えばシャドーコピーです。
QNAPではスナップショット用の領域を確保(その分通常データの格納容量は減りますが)しただけ作成できますので、10日でも2週間でも半年でも、領域が許す限り可能です。
4 クラウドにバックアップ
また、場所が違うところに置くということも重要です。あってはいけないことですが、火災や自然災害や盗難などの人的被害も考えられますので、その際にもデータを確保しておく。支店や営業所などがあればそちらとVPNでつないでバックアップする方法も多くとってきましたが、クラウドの費用が安くなってきたこともあり、今回はMicorsoftのOneDriveを使用することにしました。1日深夜に一回自動バックアップです。
※QNAPのNASはバックアップの動作もしっかりしている印象があるので、私は信頼しています。
また、何かエラーなど機器にトラブルがあった時などにメールで通知できるように設定もして、あとは、遠隔で1週間に1回動作確認です。