JavaScriptを有効にしてください

Azure Backup でもマルウェアをチェックし隊

 ·   13 分で読めます  ·   [Kento GitHub Copilot]

Azure Backup と Microsoft Defender for Cloud を連携させることで、バックアップの復元ポイントの正常性を評価し、安全な復旧を実現できるようになりました。本記事では、この脅威検出機能の設定方法と、実際のマルウェアシミュレーションによる検出動作を確認します。

本記事は GitHub Copilot を活用して作成しています。

想定される読者

  • Azure Backup を使ってバックアップ運用を行っている方
  • ランサムウェア対策としてバックアップのセキュリティ強化を検討している方
  • Microsoft Defender for Cloud の脅威検出機能に興味がある方
  • バックアップデータの安全性を確保したい方

背景:なぜバックアップデータのマルウェア検出が必要なのか

ランサムウェア攻撃の増加傾向

近年、ランサムウェア攻撃は世界中で急増しており、企業や組織にとって深刻な脅威となっています。攻撃者は以下のような多段階の攻撃を仕掛けてきます:

  1. 初期侵入: フィッシングメールや脆弱性を悪用してシステムに侵入
  2. 権限昇格: 管理者権限を奪取し、ネットワーク全体に拡散
  3. データの暗号化: 重要なデータを暗号化して使用不能にする
  4. バックアップの破壊: 復旧を阻止するため、バックアップデータを削除または破壊
  5. 身代金要求: データの復号と引き換えに金銭を要求

特に注目すべきは、攻撃者がバックアップデータを優先的に狙うという点です。バックアップが健全であれば、身代金を払わずにシステムを復旧できてしまうため、攻撃者にとってバックアップは最優先の標的となります。

バックアップデータが攻撃対象となるケース

バックアップデータが攻撃される主なパターンとして、以下があります:

  • バックアップの削除: 攻撃者が管理者権限を奪取し、バックアップを削除
  • バックアップへのマルウェア混入: 既に感染したデータがバックアップに含まれ、復元後に再感染
  • バックアップ設定の無効化: バックアップポリシーを変更し、新しいバックアップが取得されないようにする
  • 復元の妨害: 復元に必要な認証情報やキーを破壊

このような攻撃から保護するため、Azure Backup では以下の対策が提供されています:

  • 論理的な削除: 削除されたバックアップを一定期間保持し、誤削除や攻撃からの復旧を可能にする
  • リソースガード: マルチユーザー承認により、重要な操作に複数の管理者の承認を必要とする。詳しくは リソースガードを別テナントと使い隊 – クラウドを勉強し隊 で紹介
  • 脅威検出: 本記事で紹介する機能 - バックアップデータ内のマルウェアを検出し、アラートを通知

Azure Backup の脅威検出機能とは

Azure Backup の脅威検出機能は、Microsoft Defender for Cloud と連携して、バックアップの復元ポイントの正常性を評価します。この機能により、以下が実現できます:

  • VM のセキュリティ監視: Defender for Servers がソース VM をスキャンし、マルウェアや動作の異常を検出
  • 復元ポイントの正常性評価: バックアップスナップショット作成時に、VM のセキュリティシグナルを使用して復元ポイントの正常性を評価
  • 早期の脅威発見: 感染した VM からのバックアップを早期に検知
  • Defender for Cloud との統合: セキュリティアラートを一元管理し、迅速な対応が可能
  • 復元前の安全確認: 復元するバックアップが安全かどうかを事前に確認
---
title: Azure Backup 脅威検出の仕組み -Azure 環境-
---
graph TB
  VM[仮想マシン]
  RSV[Recovery Services<br/>コンテナー]
  subgraph DFC[Microsoft Defender<br/>for Cloud]
    DFS[Defender for Servers]
  end
  Alert[セキュリティアラート]

  DFS -->|VM をスキャン| VM
  VM -->|バックアップ| RSV
  RSV -->|セキュリティシグナル照会| DFC
  DFC -->|復元ポイント正常性評価| RSV
  DFC -->|脅威検出時| Alert

  classDef azure fill:#0078d4,color:#fff,stroke:#005a9e
  classDef alert fill:#ff9800,color:#fff,stroke:#f57c00

  class VM,RSV,DFC,DFS azure
  class Alert alert

---
title: Azure Backup 脅威検出の仕組み -攻撃シナリオ-
---
graph TB
  Attacker[攻撃者] -.->|マルウェア感染| VM2[VM]
  VM2 -->|バックアップ| RSV2[Recovery Services<br/>コンテナー]
  RSV2 -->|セキュリティシグナル確認| DFC2
  DFC2 -->|異常あり!| Alert2[アラート通知]

  subgraph DFC2[Microsoft Defender<br/>for Cloud]
    DFS2[Defender for Servers]
  end

  DFS2 -->|マルウェア検出| VM2
  Admin[管理者] -->|確認・対応| Alert2

  classDef threat fill:#d32f2f,color:#fff,stroke:#b71c1c
  classDef alert fill:#ff9800,color:#fff,stroke:#f57c00
  classDef admin fill:#4caf50,color:#fff,stroke:#388e3c

  class Attacker,VM2,DFS2,RSV2,DFC2 threat
  class Alert2 alert
  class Admin admin

Azure Backup と Defender for Cloud の基礎知識

Azure Backup とは

Azure Backup は、Azure 上の仮想マシン、データベース、ファイル共有、オンプレミスのサーバーなどを保護するためのバックアップサービスです。データは Recovery Services コンテナーまたはバックアップ コンテナーに安全に格納されます。

主な特徴:

  • アプリケーション整合性: データベースなどのアプリケーションを整合性のある状態でバックアップ
  • 長期保存: 法令遵守やアーカイブのために、長期間のバックアップ保存が可能
  • セキュリティ: 暗号化、論理的な削除、RBAC によるアクセス制御
  • コスト最適化: 増分バックアップと圧縮により、ストレージコストを削減

Microsoft Defender for Cloud とは

Microsoft Defender for Cloud は、Azure、オンプレミス、マルチクラウド環境全体のセキュリティ態勢を管理し、脅威から保護するサービスです。

主な機能:

  • セキュリティ態勢管理: リソースのセキュリティ構成を評価し、推奨事項を提供
  • 脅威検出: 異常な動作やマルウェアを検出し、アラートを通知
  • コンプライアンス: 業界標準(CIS、PCI DSS など)への準拠状況を可視化
  • 統合ダッシュボード: すべてのセキュリティアラートと推奨事項を一元管理

Azure Backup と Defender for Cloud の連携

Azure Backup の脅威検出機能は、Defender for Cloud の Defender for Servers プランを活用します。仕組みは以下の通りです:

  1. Defender for Servers がソース VM をスキャン: マルウェア、ランサムウェアシグネチャ、動作の異常などを検出
  2. セキュリティシグナルの収集: Defender for Cloud が VM のセキュリティ状態に関する情報を収集
  3. バックアップスナップショット作成時の評価: Azure Backup がバックアップを取得する際、Defender for Cloud のセキュリティシグナルを使用して復元ポイントの正常性を評価
  4. 復元ポイントへのタグ付け: 評価結果(「クリーン」「疑わしい」「不明」など)を復元ポイントのメタデータとして記録

連携のメリット:

  • 復元ポイントの安全性評価: VM のセキュリティ状態に基づいて、復元ポイントの正常性を自動評価
  • 統合管理: すべてのセキュリティアラートを Defender for Cloud のダッシュボードで確認
  • 迅速な対応: アラートを基に、感染源の特定と対応を迅速に実施
  • 監査証跡: 評価結果とアラート履歴が記録される

ざっくり手順

本記事では、以下の手順で Azure Backup の脅威検出機能を設定し、動作を確認します:

  1. 前提条件の確認

    • Azure VM と Recovery Services コンテナーの準備

  2. Defender for Cloud の設定

    • Defender for Servers プランの有効化
    • Recovery Services コンテナーでの脅威検出有効化

  3. マルウェアシミュレーション

  4. バックアップの取得と検出の確認

    • オンデマンドバックアップの実行
    • Defender for Cloud でのアラート確認

  5. アラートの詳細確認と対応

    • アラートの詳細情報の確認
    • 対応アクションの実施

それでは、各手順の詳細を見ていきましょう。

1. 前提条件の確認

必要なリソース

本検証には、以下のリソースが事前に作成されている必要があります:

  • Azure 仮想マシン: バックアップ対象となる VM(Windows または Linux)
  • Recovery Services コンテナー: バックアップデータを格納するコンテナー
  • バックアップポリシーの設定: VM に対してバックアップが設定済み

サポート対象のワークロード

Azure Backup の脅威検出は、現在以下のワークロードでサポートされています:

  • Azure 仮想マシン(Windows/Linux): Recovery Services コンテナーでバックアップ

本記事では、Windows マシンを対象に検証を進めます。

リージョンのサポート

脅威検出機能は、限定されたリージョンで利用可能です。最新のサポート対象リージョンについては、以下の公式ドキュメントを参照してください:

利用前に、お使いのリージョンがサポート対象であることを必ず確認してください。

2. Defender for Cloud の設定

2-1. Defender for Servers プランの有効化

Azure Backup の脅威検出を使用するには、Defender for Servers プランを有効化する必要があります。

Azure Portal での設定手順

  1. Azure Portal にサインインし、Microsoft Defender for Cloud を検索して開く
  2. 左側メニューから 環境設定を選択
  3. 脅威検出を有効にしたいサブスクリプションをクリック
Microsoft Defender for Cloud の環境設定画面。サブスクリプションの一覧が表示されており、各サブスクリプションに対して Defender プランの状態が表示されている
Defender for Cloud の環境設定画面:
  1. Defender プランの一覧から Servers を探す
  2. Servers の行で、ステータスをオンに切り替える
  3. 必要に応じて、Plan 1 または Plan 2 を選択
    • Plan 1: Defender for Endpoint(MDE)を使用した脅威検出
    • Plan 2: エージェントレススキャンを含む高度な脅威検出
Defender for Servers の詳細設定画面。プランの選択オプションが表示されている
Defender for Servers の設定画面:
  1. 続行をクリック
  2. 保存をクリック

これで、Defender for Servers プランが有効化され、VM のセキュリティシグナルを収集できるようになります。

2-2. Recovery Services コンテナーでの脅威検出有効化

次に、Recovery Services コンテナー側で脅威検出機能を有効化します。

Azure Portal での設定手順

  1. Azure Portal で Recovery Services コンテナーを開く
  2. 脅威検出を有効にしたいコンテナーを選択
  3. 左側メニューから プロパティを選択
  4. セキュリティ設定セクションを展開
  5. 脅威の検出の項目で、更新をクリック
Recovery Services コンテナーのプロパティ画面。セキュリティ設定セクションに脅威の検出の項目が表示されている
Recovery Services コンテナーのセキュリティ設定画面:
  1. 脅威の検出を有効にするを選択
  2. 保存をクリック

これで、このコンテナーにバックアップされる VM の復元ポイントに対して、Defender for Servers のセキュリティシグナルを使用した正常性評価が実行されるようになります。

3. マルウェアシミュレーション

実際にマルウェアを検出できるか確認するため、Microsoft Defender for Endpoint (MDE) の検出テストを使用します。

エージェントレス マルウェア スキャンについて

Defender for Servers プラン 2 には、エージェントレス マルウェア スキャン機能が含まれています。この機能は以下の特徴があります:

  • スキャン頻度: 24時間ごとに自動実行
  • エージェント不要: VM にエージェントをインストールする必要がない
  • パフォーマンス影響なし: VM のパフォーマンスに影響を与えない
  • スナップショットベース: VM のディスクスナップショットをスキャン

エージェントレス スキャンは長期的なセキュリティ監視に適していますが、今回の検証では即座に結果を確認するため、Microsoft Defender for Endpoint (MDE) の検出テストを使用します。

参考:

3-1. Azure VM への接続

  1. Azure Portal で対象の Windows 仮想マシンを開く
  2. 接続ボタンをクリックし、RDP で接続
  3. 必要な認証情報を入力して VM にサインイン

3-2. MDE 検出テストの実行

Microsoft Defender for Endpoint の検出テストを実行して、デバイスが正しくオンボードされ、脅威を検出できることを確認します。

PowerShell 検出テストの実行

  1. VM 上で、管理者としてコマンドプロンプトを開く
  2. 以下のコマンドをコピーして実行:
1

powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
コマンドプロンプトで MDE 検出テストコマンドを実行している画面
MDE 検出テストの実行:
  1. コマンドプロンプトウィンドウが自動的に閉じることを確認

成功すると、約 10 分でオンボードされたデバイスの新しいアラートが Microsoft Defender ポータルに表示されます。

参考: Microsoft Defender for Endpoint に最近オンボードされたデバイスで検出テストを実行する | Microsoft Learn

Microsoft Defender ポータルに表示された EDR テストのアラート画面
EDR テストのアラート表示:

4. バックアップの取得と検出の確認

4-1. オンデマンドバックアップの実行

検出テストを実行したので、今すぐバックアップを取得してマルウェア検出をテストします。

Azure Portal での手順

  1. Azure Portal で Recovery Services コンテナーを開く
  2. 左側メニューから バックアップ項目を選択
  3. Azure 仮想マシンをクリック
  4. 対象の VM を選択
  5. 今すぐバックアップをクリック
Recovery Services コンテナーのバックアップ項目画面。対象 VM の詳細が表示されており、今すぐバックアップボタンが表示されている
今すぐバックアップの実行:
  1. 保持期間を選択(デフォルトまたは任意の日数)
  2. OKをクリック

バックアップジョブが開始されます。進行状況は、バックアップ ジョブから確認できます。

4-2. バックアップの完了を待つ

バックアップの完了には、VM のサイズやデータ量によって異なりますが、通常は数分から数十分かかります。

バックアップジョブの状態を確認:

  1. Recovery Services コンテナーの左側メニューから バックアップ ジョブを選択
  2. 対象のジョブのステータスが 完了になるまで待つ
バックアップ ジョブの一覧画面。ジョブの名前、状態、開始時刻、期間が表示されている
バックアップジョブの進行状況:

5. アラートの詳細確認と対応

バックアップが完了するまでの間にセキュリティ アラートの詳細を確認しておきます

5-1. アラートの詳細情報

アラートには、以下のような情報が含まれています:

  • アラート名: MDE 検出テストによって生成されたアラート
  • 重大度: またはまたは
  • 説明: VM 上で脅威が検出されたことの説明
  • 影響を受けるリソース: VM の名前
  • 検出された脅威の詳細: ファイルパス、検出された脅威の情報
  • 推奨されるアクション: VM のスキャン、脅威の削除、クリーンなバックアップの取得
アラートの詳細画面。アラートの説明、影響を受けるリソース、検出されたマルウェアの情報、推奨されるアクションが表示されている
マルウェア検出アラートの詳細:

5-2. 脅威の分析

Defender for Cloud は、検出された脅威について詳細な分析情報を提供します:

---
title: マルウェア検出時の対応フロー
---
sequenceDiagram
    participant VM as Azure VM
    participant DFS as Defender for Servers
    participant Backup as Azure Backup
    participant Defender as Defender for Cloud
    participant Admin as 管理者
    
    Note over VM,Defender: VM のスキャンとバックアップ
    DFS->>VM: VM を継続的に監視・スキャン
    VM->>Backup: バックアップ実行
    Backup->>Defender: セキュリティシグナル照会
    Defender->>Backup: VM のセキュリティ状態を返す
    Backup->>Backup: 復元ポイントの正常性を評価
    
    Note over DFS,Admin: 脅威検出時
    DFS->>VM: マルウェア検出!
    DFS->>Defender: セキュリティアラート生成
    Defender->>Admin: アラート通知
    
    Note over VM,Admin: 対応フロー
    Admin->>Defender: アラート詳細を確認
    Admin->>VM: VM にサインイン
    Admin->>VM: マルウェアスキャン・削除実行
    Admin->>Backup: クリーンなバックアップから復元
    Admin->>Defender: アラートを解決

5-3. 推奨される対応アクション

マルウェアが検出された場合、アラートに表示される推奨事項や組織内のマニュアルに従って作業(ネットワーク隔離など)を行います

アラートの推奨される対応アクションの例。VM にサインインしてマルウェアスキャンを実行することが推奨されている
推奨される対応アクション:

今回のケースでは Azure Backup を利用し、正常な状態に復元します
Azure Backup のバックアップ項目を見ると復元ポイントにおいて脅威が検出されているかどうかがわかります
今回は MDE のテストアラートなので 脅威は報告されていません となっています
本当にマルウェアが検出された場合は、Suspicious RP Found (脅威のある復元ポイント) と表示されます

バックアップ項目の復元ポイントの一覧画面。各復元ポイントの正常性評価が表示されている
復元ポイントの正常性評価:

まとめ

Azure Backup 脅威検出の効果

本記事では、Azure Backup と Microsoft Defender for Cloud を連携させて、バックアップデータ内のマルウェアを検出する方法を実際に検証しました。この機能により、以下のメリットが得られます:

復元前の安全確認

  • 復元するバックアップが安全かどうかを事前に確認できる

統合されたセキュリティ管理

  • Defender for Cloud のダッシュボードで、すべてのセキュリティアラートを一元管理

ランサムウェア対策の強化

  • 感染したデータがバックアップに含まれることを防ぎ、安全な復旧を実現

参考リンク

公式ドキュメント

マルウェアシミュレーション

関連トピック

共有
Kento
著者
[Kento GitHub Copilot]
2020年に新卒で IT 企業に入社. インフラエンジニア(主にクラウド)として活動中

関連記事