ランサムウェアは、感染した Elastic Compute Service (ECS) インスタンス上のデータを暗号化して身代金を要求し、サービスの中断、データ漏えい、恒久的なデータ損失を引き起こします。このトピックでは、攻撃前に ECS インスタンスを保護する方法と、攻撃後に復旧する方法について説明します。
仕組み
予防策はリスクを低減しますが、完全に排除できる対策はありません。ランサムウェアは、システムを機能させたまま、時間をかけて静かにデータを暗号化することもあります。攻撃が表面化する頃には、最近のバックアップにすでに暗号化されたデータが含まれている可能性があります。そのため、多層防御戦略が不可欠です。アクティブな保護とバックアップポリシーを組み合わせることで、必要なときに少なくとも 1 つのクリーンな復旧ポイントを利用できるようにします。
以下の保護方法が利用可能です。要件に応じて、これらを個別または組み合わせて使用します。バックアップとスナップショットには料金が発生することにご注意ください。
| 方法 | 機能 | 最適な用途 |
|---|---|---|
| セキュリティセンターのランサムウェア対策 | ディレクトリをアクティブに監視し、設定可能なスケジュールでデータをバックアップします。ファイルレベルの復元が可能です。 | アクティブな保護と詳細な復旧が必要な環境 |
| 自動スナップショットポリシー | 定期的なディスクスナップショットを作成し、ポイントインタイムロールバックを実現します。 | シンプルなディスクレベルの復旧ベースラインが必要な環境 |
| セキュリティグループとファイアウォールルール | ネットワークアクセスを制限して攻撃対象領域を縮小します。 | すべての環境。ネットワークセキュリティの専門知識が必要です。 |
高い業務継続性が求められる場合は、3 つの方法すべてを併用します。
攻撃前:保護の設定
セキュリティセンターのランサムウェア対策の有効化 (推奨)
セキュリティセンターのランサムウェア対策機能は、保護対象のディレクトリをスケジュールに従ってバックアップします。インスタンスが感染した場合、クリーンであることがわかっているバックアップから個々のファイルまたはディレクトリ全体を復元できます。
前提条件
開始する前に、以下を確認してください。
ランサムウェア対策機能を有効にし、ランサムウェア対策容量を購入済みであること。詳細については、「ランサムウェア対策サービスの有効化と購入」をご参照ください。
ご利用のサーバーのオペレーティングシステム (OS) がサポート対象であることを確認済みであること。サポートされている OS のリストについては、「ランサムウェア対策の概要」をご参照ください。
ランサムウェア対策ポリシーの作成
セキュリティセンターコンソールにログインします。
左側のナビゲーションウィンドウで、[保護設定] > [ホスト保護] > [ランサムウェア対策] を選択します。左上隅で、アセットのリージョン ([中国本土] または [中国本土以外]) を選択します。
[サーバーのランサムウェア対策] タブで、[ランサムウェア対策ポリシーの作成] をクリックします。
[ランサムウェア対策ポリシーの作成] パネルで、基本設定を構成します。
パラメーター 説明 ポリシー名 ポリシーの名前 サーバータイプ ポリシーが適用されるサーバーのタイプ バックアップルート サーバータイプが[Alibaba Cloudにデプロイされていないサーバー] の場合にのみ必須です。インターネット経由でバックアップデータを転送するには、[インターネット] を選択します (インターネット帯域幅料金が適用されます)。または、Virtual Private Cloud (VPC)、Express Connect、Cloud Enterprise Network (CEN) を使用してプライベートネットワーク経由で転送するには、内部ネットワーク を選択します。 リージョン サーバータイプが[Alibaba Cloud にデプロイされていないサーバー]の場合にのみ必要です。サーバーのリージョン、またはランサムウェア対策エンドポイントへのネットワークパスが最も安定しているリージョンを選択します。エンドポイント アセットの選択 個々のアセット、複数のグループにまたがるアセット、またはアセットグループ全体を選択します。Alibaba Cloud サーバーの場合、単一のポリシーに複数のリージョンのサーバーを含めることができます。Alibaba Cloud 以外のサーバーの場合、単一のポリシーには同じリージョンのサーバーのみを含めることができます。1 つのサーバーは 1 つのポリシーにのみ所属できます。 データバックアップ設定を構成し、[OK] をクリックします。[推奨ポリシー] と [カスタムポリシー] のいずれかを選択します。
推奨ポリシー:一般的なユースケースに最適化された、組み込みの固定ポリシーです。すべてのディレクトリ (システムディレクトリと、Object Storage Service (OSS) や Apsara File Storage NAS などの非ローカルマウントパスを除く) をバックアップし、すべてのファイルタイプを対象とします。初回バックアップは 00:00 から 03:00 の間に開始され、その後のバックアップは 1 日ごとに実行され、データは 7 日間保持されます。帯域幅制限は、Alibaba Cloud サーバーでは無制限 (0 MB/s)、Alibaba Cloud 以外のサーバーでは 5 MB/s です。
カスタムポリシー:特定のバックアップルールを定義できます。次の表にパラメーターを示します。
パラメーター 説明 保護するディレクトリ 特定のディレクトリ:指定されたディレクトリをバックアップします。最大 20 個のディレクトリパス (Windows の場合は C:\Program Files (x86)\、Linux の場合は/usr/bin/など) を追加できます。セキュリティセンターは、各パスのバックアップタスクを順次実行します。ディレクトリが大きい場合は、バックアップ中のリソース消費を削減するために、より小さなパスに分割してください。すべてのディレクトリ:選択したアセットのすべてのディレクトリをバックアップします。除外するディレクトリ スキップするディレクトリ。セキュリティセンターはデフォルトの除外リストを提供しており、変更可能です。 非ローカルマウントパス OSS や NAS などの非ローカルマウントパスを除外するかどうか。 保護するファイルタイプ すべてのファイルタイプ:すべてのファイルをバックアップします。特定のファイルタイプ:指定されたタイプ (ドキュメントや画像など) のみバックアップします。セキュリティセンターは、選択されたタイプのファイルのみをバックアップします。 初回バックアップ開始時刻 初回バックアップの開始時刻。初回バックアップは完全バックアップであり、多くの CPU およびメモリリソースを消費する可能性があります。ワークロードへの影響を避けるため、オフピーク時にスケジュールしてください。 定期バックアップ間隔 後続のバックアップ間の間隔。デフォルト:1 日。 バックアップデータ保持期間 バックアップデータを保持する期間。デフォルト:7 日。無期限:セキュリティセンターサービスが期限切れになるか、ポリシーを削除するか、ポリシーからサーバーを削除するまで保持します。カスタム:1 から 65,535 日の保持期間を指定します。この期間が過ぎるとバックアップデータは自動的に削除されます。復旧要件に合った保持期間を設定してください。 最大バックアップ帯域幅 バックアップジョブが使用できる最大帯域幅。Alibaba Cloud サーバーの場合、バックアップはプライベートネットワーク帯域幅のみを使用します (パブリック帯域幅への影響はありません)。デフォルトは 0 MB/s (無制限) です。Alibaba Cloud 以外のサーバーの場合、バックアップはパブリックまたはプライベートネットワーク帯域幅を使用します。デフォルトは 5 MB/s です。バックアップがビジネス運用に影響を与えないように制限を設定してください。
ポリシーが作成されると、そのステータスはデフォルトで有効になります。セキュリティセンターは、ご利用のサーバーにランサムウェア対策エージェントを自動的にインストールし、ポリシーに従ってデータのバックアップを開始します。
ランサムウェア対策エージェントのステータスを監視し、発生した例外をすみやかに対処してください。未解決のエージェントの問題により、バックアップおよび回復が実行されなくなる場合があります。詳細については、「エージェントのステータスを表示する」をご参照ください。
自動スナップショットポリシーの作成
自動スナップショットポリシーは、定期的にディスクスナップショットを作成し、それを使用してディスクを以前の状態にロールバックできます。これにより、ディスクレベルの復旧ベースラインが提供されますが、アクティブな保護を置き換えるものではありません。
インスタンスにアタッチされているディスクに対して自動スナップショットポリシーを作成します。詳細については、「自動スナップショットポリシーの作成」をご参照ください。
セキュリティグループとファイアウォールルールの設定
ネットワークアクセスを制限することで、ランサムウェアがインスタンスに到達する経路を限定します。このアプローチには、ネットワークセキュリティの専門知識が必要です。
セキュリティグループとファイアウォールポリシーのインバウンドルールを設定します。
攻撃後:データの復旧
バックアップまたはスナップショットから復元する前に、感染が発生したおおよその時刻を特定してください。感染前の復旧ポイントを選択してください。すでに暗号化されたバックアップから復元しても、データは復旧されません。
セキュリティセンターのバックアップからの復元
変更を加える前に、感染したインスタンスのシステムディスクとデータディスクのスナップショットを作成します。詳細については、「手動でのスナップショットの作成」をご参照ください。
セキュリティセンターコンソールにログインします。
左側のナビゲーションウィンドウで、[保護設定] > [ホスト保護] > [ランサムウェア対策] を選択します。左上隅で、アセットのリージョン ([中国本土] または [中国本土以外]) を選択します。
[サーバーのランサムウェア対策] タブで、ポリシーリストから感染したサーバーを見つけます。検索ボックスを使用して、ポリシー名またはサーバー名でフィルタリングします。
アイコンをクリックしてサーバーリストを展開し、対象のサーバーを見つけて、[復元] 列の [復元] をクリックします。[復元タスクの作成] パネルで、復元するバックアップバージョンとファイルを選択し、宛先フォルダーを入力して、ターゲットサーバーを指定します。
[OK] をクリックします。
復元ジョブが作成されると、「復元タスクが作成されました。」というメッセージが表示されます。ターゲットサーバーに移動して、復元されたデータを確認します。
スナップショットを使用したディスクのロールバック
ロールバックは元に戻せません。スナップショット作成時刻とロールバック時刻の間に追加、変更、または削除されたすべてのデータは失われます。ディスクが感染している場合でも、ロールバックする前に現在のディスク状態のスナップショットを作成してください。
感染したインスタンスのシステムディスクとデータディスクのスナップショットを作成します。詳細については、「手動でのスナップショットの作成」をご参照ください。
システムディスクを再初期化します。詳細については、「システムディスクの再初期化」をご参照ください。
感染前に作成されたクリーンなスナップショットを使用して、システムディスクとデータディスクをロールバックします。詳細については、「スナップショットを使用したディスクのロールバック」をご参照ください。
サードパーティの復号サービスへの連絡 (バックアップがない場合)
クリーンなバックアップまたはスナップショットが存在しない場合は、システムディスクを再初期化した後、サードパーティの組織に連絡してデータの復号と復旧を依頼してください。
サードパーティのデータ復号サービスは、Alibaba Cloud とは独立して運営されています。Alibaba Cloud は、データ復旧の範囲や、結果として生じる可能性のある追加のデータ破損について責任を負いません。