Tokyo Mac Blog

インテゴ社のパーソナルバックアップを使用した
Macのランサムウェア対策ガイド

 

ご存知のように、現在、ランサムウェアがヤバイことになってしまっています・・・そして、昔のようにWindows限定の恐怖ではなくなってしまいました。初のMac向けランサムウェアが2016年の3月に発見され、次の恐怖がいつ頭をもたげてくるかはもはや時間の問題です。

感染を媒介するのがどんなものか、どんな仕組みで感染させるのか、どのタイプのファイルがはじめに狙われるのか、誰にもわからないものに対して、どうやって備えたらいいのでしょう。

いずれの優れたセキュリティ戦略でも、ランサムウェア対策の最良の防御は複数のレイヤーで構成されます。

第一のレイヤーは、使用するシステムでマルウェアの有無を監視したり、ウェブやネットワークトラフィック中に悪意あるコンテンツがないかをチェックするための「信頼されるセキュリティスイート」で始まります。

次の防御レイヤーは自分自身です。信頼性の低い提供先からのコンテンツはダウンロードしない、また不用意にメールの添付を開かないことに気をつけていれば、感染の危険性は大幅に軽減できます。自分のデータの安全性を保つことが最大の優先事項であり、賢いバックアップの方策を講じておくのは言うまでもありません。これはお使いのMacがインターネットに接続しているかいないかに関わらず言えることです。なぜなら、それがハードドライブでもSSD(ソリッドステートドライブ)でも、マルウェアに接触したかどうかに関わらず、いずれは故障するものだからです。

OS Xに搭載されたバックアップソリューションであるTime Machineはファイルの安全性を確保する長い道のりの第一歩として有効です。Time Machineを使えば、外付けハードドライブやローカルサーバ、Time Capsule、またはその組み合わせにデータをバックアップできます。Time Machineが第一歩として有効だと言ったのは、セットアップはとても簡単だけれど、機能がとても限られているからです。さらに最近になってランサムウェアにより暗号化されたファイルが外付けドライブやネットワーク共有ドライブから発見されました。将来もこの手のランサムウェアが出現することは確実です。

ですが諦めるのはまだ早いです。対策はあります。

 

Macのランサムウェアについて

 

ランサムウェアは一般的にコンピュータに感染し潜伏します。ランサムウェアの作成者は、できるだけ多くのコンピュータに感染させること、それらコンピュータ上のデータを暗号化すること、そしてランサムウェアであることを表明することを実現するための一番効果的で絶妙のタイミングを割り出す必要があります。

一台のコンピュータに感染してからすぐに暗号化を開始し、時間を置かずにランサムウェアであることを公にしてしまえば、アンチウイルス企業は迅速に自社製品のアップデートを実施して多数のコンピュータへの感染を阻止するでしょう。結果としてごく限られた台数のコンピュータに感染して終わってしまいます。

ランサムウェアが侵入してから数日間何もしないでいれば、コンピュータの使用者にその存在を知られる可能性はずっと低くなります。そしてより多くのコンピュータに感染するための時間が稼げます。数日後、ランサムウェアはコマンドアンドコントロールサーバ(C&Cサーバ)に接触して指示を仰ぎます。C&Cサーバが仕事を始めるGoサインを出すと、世界中の数千、数万台というMac上のファイルが突如として暗号化され始めます。警告のベルが鳴って世の中が知るころには、感染したコンピュータには手遅れです。このシナリオ通りに事が運べば、ランサムウェア被害者からの潜在的な支払いは巨額にのぼります。

ランサムウェアの潜伏期間が長すぎると、それだけ検出されるリスクも高まります。セキュリティ研究者やアンチウイルス企業は常に新たなマルウェアの発見に努めています。潜伏している状態であっても、高度なスキルを持った専門家たちはランサムウェアが残した痕跡からその存在を突き止めてしまいます。

前回紹介したKeRangerというMacのランサムウェアは、その行動を開始するまで3日間潜伏します。次に出現するランサムウェアは1週間またはより長く潜伏するかもしれません。

 

Macのランサムウェア対策はあるのか?

 

はい。あります。

複数の場所にバックアップが可能で、かつスケジュールを自分で設定でき、様々なバックアップタイプや設定が可能なバックアップソリューションが望ましいです。Time Machineでも複数のドライブにバックアップ可能ですが、バックアップ定義のタイプは限定的で、スケジュールを設定するとすべてのバックアップに適用されてしまいます。

IntegoのPersonal Backup(パーソナルバックアップ)では下記のことが可能です:

・外付けドライブ、ローカルネットワーク共有(AFP、SMB、FTP)、リモートサーバ共有、または他のMacとの1対1のデータ同期によるバックアップ

・シンプルなクローンバックアップ、複数バージョンのバックアップ、ブータブルバックアップ、または同期

・自由にスケジュールが設定可能:時間ごと、日ごと、週の任意の曜日(複数選択が可能)、月ごと、および月の任意の日付(複数選択が可能)

・詳細な設定が可能:プリセットではなく、Automatorのアクションを利用して自在な設定が可能です。また設定したアクションはバックアップを開始する前やバックアップの後に実行できます。

・いずれのバックアップタスクからでも簡単にファイルの復元が可能。バックアップのブラウズが簡単にでき、ファイルは元の場所や任意の場所に復元できます。

・設定した期間バックアップが実行されないでいるとお知らせメールを送信

・バックアップが成功したかどうかを通知するメールを送信

・Time Machineとコンフリクトしないため、お好みに応じて両方共利用可能

 

バックアップがランサムウェア対策になる、という事実!

 

付加的な機能が大きな価値をもたらす場合があるという良い例です。バックアップの保管先を使っているMacに接続したままでいると、Macと同じようにランサムウェアに攻撃されてしまう可能性があります。ランサムウェアからの攻撃に備えてファイルを保管する秘訣は、バックアップを実行する間隔と、バックアップをするときにだけバックアップの保管先に接続するようにすることです。こうしておけばランサムウェアはバックアップにアクセスできず、ファイルを暗号化することもできません。

具体的な対応策はいろいろありますが、ここでは手持ちとして外付けハードドライブが1台とTime Capsuleが1台の場合を想定してみます。複数の外付けドライブがありOS X Serverを運用している場合などは、もちろん今から紹介するよりももっと複雑なバックアップのスケジュールを運用することになるでしょう。

Time Capsuleと外付けドライブが利用できる場合、以下のバックアップを設定できます:

・Time Machineを使ってTime Capsuleに1時間ごとのバックアップを実行する。

お使いのOSに搭載された機能ですので、積極的に利用しましょう。

・Personal Backupを使って外付ハードドライブに、毎日、毎週、隔週ごと、そして毎月のバックアップを実行する。

ハードドライブに十分な容量がある場合は、複数のパーティションに区切って使います。毎日、毎週、隔週ごとのバックアップにそれぞれ専用のパーティションを使えばわかりやすくなります。

Personal Backupスケジュールおよび外付けハードディスクのパーティションは次のようになります。

毎日のバックアップを設定する方法を手順を追ってみていきましょう。

Personal Backupを起動すると、バックアップタスクを作成するよう求められます。

 

1

 

タスクに「My Daily Backup」など、バックアップの間隔が一目でわかるような名前をつけます。

バックアップのソースを指定します。自分のホームフォルダやバックアップしたいフォルダ群、あるいはお使いのMacのHD全体でも構いません。このときHD全体をバックアップしたい場合は起動ディスクのバックアップにした方が良いでしょう。起動ディスクのバックアップがあれば、その名の通り外付けディスクに作成した起動ディクスからシステムを起動できるため、万が一Macが故障した場合に対応することができます。

バックアップのコピー先を指定します。

今回、バックアップの頻度は毎日に設定したいので、デフォルトのままで大丈夫です。ですがMacBookタイプや、ある程度の時間電源を落とす使い方をする場合は、毎日何時にバックアップを開始するかの時刻を指定することをお勧めします。こうしておけば何時にMacを起動しておけばバックアップが実行されるかがわかります。時刻を指定するには「そのほか…」ボタンをクリックします。また「必要に応じてコンピュータのスリープを解除」や「タスク実行中はコンピュータをスリープしない」オプションを必要に応じて選択します。

 

2

これが、パーソナルバックアップの楽しいところです!

「詳細設定」セクションの「変更…」ボタンをクリックします。表示されるウインドウでは、必要に応じてアクセス権や例外の設定ができます。ここで「実行後」オプションに注目してください。「アクションを実行」チェックボックスをクリックするとAutomatorのパネルが開きます。「取り出す」と検索すると「ディスクを取り出す」アクションが見つかります。このアクションをチェックボックスを有効にして追加されたフィールドにドラッグアンドドロップします。

 

3a

 

ここではまたバックアップの暗号化も設定できます。バックアップを保管した外付けドライブに他の人がアクセスできる場合や、ノート型Macと一緒に持ち歩く場合などは、暗号化をしておくと良いでしょう。

・変更を適用します。

・一連の設定を完了すると、下図のようになります。

4

・「追加」ボタンをクリックするとタスクが保存されます。最初のバックアップは数分後に開始されます。バックアップのタスクを作成したら、デスクトップからハードドライブのすべてのパーティションを取り出しておきます。

 

5

 

PersonalBackupにより必要に応じてパーティションがマウントされ、バックアップが完了すると自動的にマウント解除されます。
バックアップに使用するパーティションはコンピュータを再起動した都度取り出しておくようにします。

下のショートムービーはPersonal Backupがディスクを自動的にマウントし、バックアップを実行して取り出すまでの様子です。

 

 

 

上記で紹介した手順で毎週、隔週のバックアップタスクを作成すれば、堅実なバックアップ戦略の完成です。毎週や隔週のバックアップにより、ランサムウェアの潜伏期を生き延びる可能性が高まります。

最後に、Personal Backupの環境設定を確認しておきましょう。ここでは、バックアップが指定した期間実行されなかった場合にメールで通知するよう設定できます。

7

バックアップが正常に完了した場合、また何らかの原因で失敗した場合にも即座に通知されます。バックアップが失敗しても24時間以上も通知が来ないTime Machineとどちらが確実なバックアップなのか・・・言うまでもありませんね・・・。

8

毎日、毎週、そして隔週でバックアップを実行し、かつ大半の時間はシステムから利用できないようマウント解除していれば、大切なデータがランサムウェアの感染を逃れる可能性は飛躍的に高まります。

さらに、会社でMacをご利用の方が社外サーバを利用できるなら、追加で毎週と毎月そこにバックアップを実行してはどうでしょう。ウェブサイトのホスト先として個人的に利用しているようなサーバでも、FTPアクセスは提供しているでしょうし、少々の空きスペースもあるでしょう。自分の書類フォルダと重要なファイルだけを隔週でバックアップするには足りるのではないでしょうか。利用できる資源によって、より複雑で何重にも重複させたバックアップスケジュールを組むことが可能です。

■原案『レイマンのランサムウェア対策ガイド』(インテゴ社・Macセキュリティブログのエントリーより)

インテゴ社・Personal Backup X9(パーソナルバックアップ最新版) 詳細・購入

●ライター:Jay Vrijenhoek氏(ITコンサルタント)
●日本語訳:Fumie
●技術協力:act2 support team
●編集:TokyoMac