- ランサムウェアが流行しているけど、感染したときの対策ってないの?
- ランサムウェアに感染したけど、写真データの復旧はできないの?
- スナップショットがランサムウェアに強いって聞いたけど設定方法がわからない
QNAP のランサムウェア Qlockerが流行しています。Qlockerに感染し7zipへの暗号化が完了してしまうと、駆除したとしても通常の方法では復旧(復号化)できません。実際にランサムウェア被害にあって多くの写真を失いました。
システムエンジニアとして活動しているにもかかわらず、「個人は大丈夫でしょ。しっかり防御しているし…」と慢心があったため、大きな代償を支払うことになりました。
QNAPのテクニカルサポートに相談したところ、ランサムウェア対策には、やはりスナップショットが有効とのことです。
ランサムウェア対策のためスナップショットを使ってみたいという人に向けて、ゆるく解説します。
スナップショットとは?
私たちの大好きなカメラの世界にもスナップショットという言葉があります。Wikipediaから抜粋。
下準備その他特にせず、日常のできごとあるいは出会った光景を一瞬の下に撮影する。
今回紹介するNASのスナップショットに置き換えると、「NAS上のファイルやフォルダの状態をそのまま記録・保存しておいたもの」となります。写真と同じで定期的に何度でも保存しておけます。もちろんHDD容量が許す限りです。
スナップショットがランサムウェア対策になる理由
通常のバックアップ(Hybrid Backup Sync等)の場合、元のデータがランサムウェアによって暗号化されてしまうと、暗号化されたファイルがそのままバックアップされます。そのため暗号化前のファイルは消えてしまいます。 あくまでもバックアップ元とバックアップ先は同じ構成となります。
一方でスナップショットの場合は、感染していなかった日のスナップショットまで戻って復旧できます。例えば昨日ランサムウェアに感染したとします。1日前のスナップショットでは暗号化ファイルがバックアップされていても、2日前までにさかのぼれば復旧できます。
バックアップよりスナップショットが良い?
決してバックアップに比べてスナップショットが優秀というわけではありません。
バックアップと違って、スナップショットは、ディスクが壊れたらすべてのデータを失いますし、元データや過去のスナップショットが必要となります。ハード障害には弱いです。
ランサムウェアのようなケースに対して、スナップショットの性質が対策として優秀というだけです。ハード障害などに備えてバックアップとの併用が必要です。
スナップショットを破壊するランサムウェアはある?
スナップショットを破壊するランサムウェアは、残念ながら存在します。
今回のQlockerも特殊なランサムウェアで、スナップショットを削除して暗号化するという特徴がありました。Windows OSのVSS(Volume Shadow Copy サービス)においても、スナップショットを削除するランサムウェアの亜種も確認されているそうです。
ランサムウェア対策にバックアップ: NetBackup | NEC
とはいえ、Qlocker以外のランサムウェア被害には依然としてスナップショット機能が頼りになるのは事実です。
スナップショットの使い方
スナップショットの使い方を「初期設定」「スケジュール設定」「復旧手順」と3つの場面に分けて解説します。QNAPのUIは、地味なイメージはありますが、使い始めてると考えられているUIで分かりやすいです。
初期設定:スナップショットの撮り方
スナップショットを撮り方を説明します。手順どおり進めれば簡単です。
Control Panel > システム > ストレージ&スナップショット を開きます。左側メニューのストレージ > ストレージ/スナップショットを選びます。スナップショットから「スナップショットマネージャー」をクリックします。
スナップショットマネージャーが起動します。「スナップショットを撮る」をクリックします。
スナップショット機能を有効にすると、全体のパフォーマンスが落ちるという警告が表示されます。「OK」ボタンをクリックで進みます。
スナップショットを実際に利用している感想としては、パフォーマンスが落ちているという体感はありません。ちなみにパフォーマンス落ちる理由としては、ファイルに変更があった際に元のファイルをバックアップするためです。
スナップショットの名前を変更できます。デフォルトの名前に日付が入っているので、そのままで問題ありません。「OK」ボタンをクリックして進みます。
イベント通知が表示されますが、気にせず「OK」ボタンをクリックします。
初回のスナップショットの取得は完了です。
スケジュール設定:スナップショットを定期的に撮る
引き続き、スナップショットを定期的に撮る方法を説明します。
スナップショットマネージャーの「スナップショットのスケジュール」をクリックします。
「スナップショットをのスケジュールを設定する」にある「スケジュールを有効にする」をONにします。僕の場合、毎日夜中の3時に取得しています。理由は、だいたい21時過ぎから24時の間に、Lightroomを使って写真の取込やレタッチするため、変更分をバックアップするためです。
続いて、スナップショットの保存期間を決めます。「スナップショット保存」を選んで、保存期間を指定します。
ランサムウェアのQlockerによる暗号化に気付いたのは、感染してから5日後でした。ネット上でも騒がれたのが、最初の感染報告から1週間以内だったと記憶しています。そういった背景から2週間あれば戻せると考えました。
スナップショットのスケジュール設定は以上となります。
復旧手順:スナップショットからファイルを復旧する
スナップショットからファイルやフォルダは、簡単に戻ります。
スナップショットマネージャーの左側に、保存されているスナップショットが一覧表示されています。カメラアイコンが保存されているスナップショットです。この一覧の中から戻したいスナップショットを選びます。
すると、右側がエクスプローラーのようになっているので、復旧したいファイルやフォルダを選択します。選択したら、画面の下部にある「復元」をクリックします。
以上で復元ができます。
補足ですが、復元はWindowsPCからも可能です。復元したファイルがあったフォルダを右クリックして「以前のバージョン」から、ファイルの復旧が可能です。
QNAP NASは全モデルにおいてスナップショット機能を搭載
スナップショットは、ランサムウェア対策に有効な手段となる機能ですが、市場にあるすべてのNASに搭載されているわけではありません。
メーカーによりますが個人向けのお手頃価格のNASに搭載されていないことが多いのが現状です。
QNAPから販売されているNASには、すべてのモデルにスナップショット機能が搭載されています。また先ほど紹介しましたとおり、パソコン初心者でも簡単に使えるような操作画面になっています。
ぜひ、この機会にNASのスナップショットの設定をご検討ください。
ではでは。