Googleドライブでのランサムウェア対策機能がリリースされました
9月のGoogle Workspaceのアップデートで、Googleドライブでのランサムウェア対策機能がアナウンスされました。
- ランサムウェア検知機能
- 複数ファイルの一括復元機能
という2つの機能で、前者は9/30から3日以内という比較的早いリリース、後者は10/14移行に15日ほどかけて順次リリースと若干時間差がありました。先日当社環境でも後者の機能の適用が確認できました。
ランサムウェアの被害が相次いでいる昨今、あらためて対策を考えている企業の管理者の方も多いと思うので、ざっくりどんなものか見ていきましょう。
概要
上にも書きましたが、リリースされた機能は以下の2つです。
- ランサムウェア検知機能 : PCにマウントしたGoogleドライブ内のファイルでランサムウェアによる暗号化が行われた場合に検知する機能(Google Drive for desktop利用前提)
- 複数ファイルの一括復元機能:Googleドライブ内のファイルを一括である時点のバージョンまで戻す機能(ランサムウェアで複数ファイルが暗号化された場合にリストアできる)
後者(複数ファイルの一括復元)はWorkspaceのすべてのユーザーに加え、個人のGoogleアカウントでも利用可能。前者(ランサムウェア検知機能)はGoogle WorkspaceのBusiness Standard /Plus, Enterprise Starter/Standard/Plusなどのプランで利用できます。利用可能なプランの詳細は前掲のGoogle公式ブログをご確認ください。
以下、それぞれの機能を見ていくことにしましょう。
なお管理者向けの公式ヘルプが下記に用意されているので、設定方法などの詳細はこちらを参照してください。
ランサムウェア検知機能
この機能は、PCにGoogle Drive for desktopをインストールして利用、PCのローカルドライブとGoogleドライブでファイル同期している場合に動作するものです。
PCがランサムウェアに感染するとファイルが順次暗号化されていってしまうので、そのままではGoogleドライブにあるファイルも暗号化されたものに同期して置き換わってしまいます。
それを防ぐため、この機能ではあるファイルがGoogleドライブに同期された際にランサムウェアで暗号化されたファイルでないかどうかをスキャン、検知した場合には同期を止めるとのことです。それによってGoogleドライブのファイルがランサムウェアの被害を受けることを防ぐわけです。この際、ユーザーのデスクトップで警告が出るほか、管理者向けのアラートも送信されるため、ランサムウェアに感染してしまったことをユーザー・管理者ともにを早期に気づくことができます。
ちなみに管理者側でこの機能のON/OFFは設定可能で、デフォルトで有効となっています。OU単位で制御が可能ですが、推奨はONですし特別な事情がない限りはOFFにすることはないかなと思います。
設定はGoogle管理コンソールメニュー から [アプリ] > [Google Workspace] > [ドライブとドキュメント] > [マルウェアとランサムウェア] > [ランサムウェア検出] で確認可能です。当社の環境でもONになっていることが確認できました。
実際どういったアラートが出るかまでは検証で再現するのが難しいので、Google Workspace Update Blogのスクリーンショットをご確認ください。
複数ファイルの一括復元機能
この機能は、Googleドライブ内のファイルを一括である時点の状態まで復元する機能です。ランサムウェアに感染してしまい複数のファイルが暗号化されてしまった場合に、それらをまとめて復元することができるわけですね。
Googleドライブは各ファイルの履歴が自動的に保存されているので、個別には各ファイルを以前の状態に復元できました。ただ、多数のファイルをひとつひとつ復元するのは非常に手間がかかるため、この機能の登場により復元の工数は大幅に削減できそうです。
こちらの機能も管理者側でON/OFF設定可能で、デフォルトで有効となっています。
一括復元はユーザーが自分で実行できるようになっており、機能が有効な場合各ユーザーがGoogleドライブ上部の設定メニューから呼び出すことができます([設定]-[ファイルバージョンの復元])。
呼び出すと、下記画像のように、日付とその日に変更されたファイルのリストが出てきます。ここから任意の日付の状態までロールバックするイメージとなります。
なお、この機能はいくつか注意点があります。
詳細は下記の公式ページもご参照ください。
復元対象のファイル
以下の条件のファイルが復元対象となるようです。
- Google Docs、スプレッドシート、スライドなどのGoogle Workspaceネイティブのファイル以外(PDFなど)
- 自身がアクセス可能な範囲のファイルで、かつ自身が編集した履歴があるもの
Google Workspaceネイティブのファイルについては、前掲の公式ヘルプページで「ランサムウェアの影響を受けないため」ということで対象外であることが明記されています。たしかにこれらのファイルは直接圧縮できませんしね。
Google ドキュメントや Google スライドなどの Google アプリで作成されたファイルはランサムウェアの影響を受けないため、ここには表示されません。
ランサムウェア感染時の実際の復元時の注意点
Google Drive for desktopを利用していて、PCがランサムウェアに感染した影響でGoogleドライブのファイルも暗号化された状況で実際この機能で復元する場合は、まずPCのGoogle Drive for desktop側で Google アカウントからログアウトします。そうしないとGoogleドライブ側で復元しても、またPC側の暗号化されたファイルが同期されてしまう可能性があるためです。
ログアウトしてアカウント接続を解除した後、PC側でランサムウェアの駆除・暗号化されたファイルのクリーンアップを行ってから、Googleドライブとの同期を再開するようにしましょう。
このあたりの手順も前掲の公式ヘルプページにより丁寧に記載されていますので、実際の作業にあたってはそちらを参考にしてください。
おわりに
以上ざっくりとGoogleドライブに実装されたランサムウェア対策機能についてご紹介しました。
ただ、読んでおわかりのようにこの機能は「Googleドライブまでランサムウェアの被害が及ぶ」ことを守る機能であって、「ランサムウェアにPCが感染してしまうことを防ぐ」ものではありません。感染自体を防止するセキュリティ対策は別途検討が必要となりますので、その点は注意しましょう。
とはいえ、Googleドライブに多くのファイルを集積している環境で、ランサムウェアの被害を早期に検知できるのはうれしいところですね!
ということでご紹介は以上となります。読んでいただいてありがとうございました!
