共有ファイルサーバーがランサムウェア暗号化された際にバックアップの同時削除・暗号化を防ぐ方法

オンライン NAS スナップショットだけに依存せず、イミュータブル、オフライン／隔離、独立資格情報、最小権限、復元テスト、アラートを組み合わせます。

1. 結論と対象範囲

クライアント／サーバーのバージョン、ドメイン参加状況、DNS とゲートウェイ、ネットワーク場所、完全なエラー文、イベント時刻、直近の変更を準備します。例では予約済みの corp.example を使用し、実在する顧客のドメイン、IP、アカウント、機器番号は掲載していません。

本件は「バックアップ、NAS、事業継続」に分類されます。ログと設定はリモートで収集できる場合がありますが、権限の一括変更、スイッチ経路、本番切替、復元テストは計画した作業枠で実施します。

2. 主な症状と環境確認

• 口頭説明だけで判断せず、完全なエラー文、イベントログの時刻、失敗した操作を保存します。
• 影響範囲、初回発生時刻、再現性、別セグメントでも同じ結果になるかを記録します。
• バックアップジョブ成功は処理完了を示すだけで、復元ポイントの完全性、アプリ整合性、リポジトリ健全性、起動可能性を保証しません。

3. 推奨する切り分け順序

1. 本番資格情報では削除・改変できないバックアップを少なくとも1世代保持し、イミュータブル期間、容量、緊急復元手順を定義します。
2. オフライン／隔離コピーはバックアップ後に本番ネットワークから切り離し、媒体、カタログ、復元鍵を定期確認します。
3. バックアップサーバー、リポジトリ、仮想基盤には独立管理アカウントと MFA を使用し、ドメイン管理者漏えいで本番とバックアップが同時破壊されないようにします。
4. スナップショットは元ストレージに依存し短期ロールバック向けです。独立バックアップは別装置／別障害ドメインに置き、復元テストを行います。
5. マシン全体、ファイル、データベース、アプリケーションを分けて復元テストし、RTO、RPO、資格情報、隔離、結果を記録します。
6. リポジトリ容量、ファイルシステム、整合性チェック、保持チェーン、合成処理、イミュータブル／オフラインコピーを確認します。

# Verify that production credentials cannot delete the protected backup copy.
# Perform an isolated file and full-system recovery test on a scheduled basis.

4. 安全な修復と一括展開

読み取り専用の確認、設定エクスポート、単一システムでの検証を優先します。原因を確認してから対象範囲、作業時間、ロールバック方法を決めます。月次または四半期運用に復元テストを組み込み、マシン、ファイル、DB、重要アプリを順番に検証し、所要時間を記録します。

• スナップショットは元ストレージに依存し短期ロールバック向けです。独立バックアップは別装置／別障害ドメインに置き、復元テストを行います。
• マシン全体、ファイル、データベース、アプリケーションを分けて復元テストし、RTO、RPO、資格情報、隔離、結果を記録します。
• リポジトリ容量、ファイルシステム、整合性チェック、保持チェーン、合成処理、イミュータブル／オフラインコピーを確認します。

5. 確認方法・ロールバック・注意点

一度動作しただけで完了としません。利用者操作、ログ、再起動／再ログイン、必要に応じて別ネットワーク場所、次回のポリシー／バックアップ周期で再確認します。

確認とロールバック

• 一度に変更する条件は1つにし、変更前に設定をエクスポートするか現状を記録します。
• マシン全体、ファイル、データベース、アプリケーションを分けて復元テストし、RTO、RPO、資格情報、隔離、結果を記録します。
• リポジトリ容量、ファイルシステム、整合性チェック、保持チェーン、合成処理、イミュータブル／オフラインコピーを確認します。

避けるべき一般的な誤り

• ジョブ成功やスナップショットの存在を復元可能性の証明とみなすこと。
• 本番ネットワークへ直接復元して名前やアドレスの競合を起こすこと。
• すべてのコピーを同一装置に置き、独立／オフラインコピーを持たないこと。