ランサムウェアからデータを守る隔離戦略:感染端末をバックアップサーバーへ近づけない「不可視」のネットワーク設計

投稿日:

バックアップが「見えている」こと自体のリスク

現代のランサムウェアは、暗号化を開始する前にネットワーク内を徹底的にスキャンし、接続可能なNASやバックアップサーバーを特定・破壊しようとします。もし業務用の一般PCからバックアップサーバーのIPアドレスを叩けたり、エクスプローラー上でその存在が見えていたりするなら、それは**「泥棒に金庫の場所を教えている」**のと同じです。

真の隔離戦略とは、バックアップサーバーをネットワーク上で**「不可視(インビジブル)」**にし、物理的・論理的に感染端末が接触できない状態を構築することです。

1. 「プル型」バックアップによる通信の非対称化

通常の「プッシュ型(PCからサーバーへ送る)」ではなく、隔離されたバックアップサーバー側からデータを吸い上げる**「プル型」**を採用します。

  • プッシュ型の欠点: PC側にバックアップ先の認証情報(ID/パスワード)が保存されているため、PCが乗っ取られるとバックアップ先も突破されます。
  • プル型の利点: バックアップサーバー側が「主導権」を持ちます。一般ネットワークからは「ポートを閉じている」状態に見えるため、攻撃者はバックアップサーバーの存在を検知しにくくなります。

2. スケジュールベースの「動的ACL」ゲート

24時間365日バックアップサーバーと通信できる必要はありません。

  • 時間制限: バックアップを実行する特定の時間帯(例:午前2時〜4時)だけ、ルーターやスイッチのACL(アクセス制御リスト)をプログラムで自動開放します。
  • 効果: 日中に社員のPCが感染しても、その時間帯はバックアップサーバーへの経路が「物理的に断絶」されているため、攻撃のパケットが届きません。

3. 「不変(Immutable)ストレージ」による最後の一手

もし隔離の壁を越えてバックアップサーバーに到達されたとしても、データを守り抜く仕組みを導入します。

  • オブジェクトロック機能: 一度書き込まれたバックアップデータを、一定期間(例:30日間)はシステム管理者であっても削除・変更できないようにロックします。
  • 効果: ランサムウェアがファイルを「上書き(暗号化)」しようとしても、ストレージ側が書き換えを拒否するため、最新の正常なデータが必ず残ります。

4. ネットワーク設計のチェックポイント

  • 非ドメイン参加: バックアップサーバーをActive Directory(AD)ドメインに参加させない。ADが乗っ取られた際の共倒れを防ぎます。
  • 管理用インターフェースの分離: バックアップデータの転送用ポートとは別に、物理的に異なるポートを「管理専用(MFA必須)」として設け、一般セグメントからは一切アクセスできないようにします。
アバター画像
0xc793

本サイトは、SOHO・個人・ホームネットワーク等の事業基盤や生活の継続を目的とした環境設計や実施タスクのナレッジです。セキュリティ、バックアップ、運用の各軸に基づき、エントリを配置していきます。