ランサムウェア攻撃による大きな混乱があいかわらず発生している。企業が負わされる財務的な負担は、予防や検知、復旧といったサービスにかかる直接的なコストにとどまらない。まず身代金の支払いについて考えなくてはならないケースは多いが、ほとんどの場合、さらにブランドの毀損や生産性の低下といったコストが発生し、IT部門へのプレッシャーも高まることになる。

バックアップ製品を提供する米Veeam Software（ヴィーム・ソフトウェア）は毎年、独立系調査会社を通じて脅威の変化を分析している。最新の「2024ランサムウェアトレンドレポート」では、2023年にサイバー攻撃を受けたことがある企業のセキュリティやバックアップの責任者1200人を対象に調査を実施した。ITシステム停止の原因として最も多いのが今回もランサムウェア攻撃で、41%のデータが侵害されている。

バックアップデータの価値は著しく高まり、サイバー犯罪者の格好の標的となっている。調査結果によると、ランサムウェア攻撃の96パーセントがバックアップリポジトリを標的とし、76パーセントがデータの侵害に成功しているという。攻撃が成功した場合、バックアップリポジトリの平均37%が影響を受けている。

サイバー保険は役に立つが、保険だけでサイバー脅威に対して防御ができるわけではない。レポートでは、（訳注：保険を適用した結果）保険料が増額になったという回答が73%、免責額が引き上げられたという回答が44%、補償が減額されたという回答が14%あった。2023年に身代金の支払いを要求された組織のうち、86%は保険の補償を受けて費用に充てることが可能だったが、実際にそうしたのは65%にとどまった。また、憂慮すべきことに、身代金を支払った企業・団体の1/3がデータを復旧できなかったという。

バックアップと災害復旧計画の重要性

被害を受けた企業の回答によると、影響を受けたデータのうち、復元できなかった箇所は全体の43%に上る。感染率や攻撃終了までに暗号化に至る割合については、データセンターのサーバー、ブランチオフィスのリソース、クラウドでホストされているデータの間で大きな違いはなかった。つまり、いったん攻撃者が内部に侵入すれば、クラウドでホストされているデータもオンプレミスのサーバーと同じくらい脆弱だということだ。したがって、使用しているプラットフォームすべてについて信頼性の高い復旧方法を用意しておく必要がある。異なるシステムやクラウドの間でデータが行き来している場合は特にそうだ。

ランサムウェア被害から復旧する際は、ITやセキュリティ、経営、法務、コンプライアンス、調達など、複数の部門の間で調整が必要となる。ところが、こうしたチーム間の連携には改善の必要がある場合が多い。調査は今年で3回目となるが、バックアップの取り組みについては大幅な改善または全面的な見直しが必要だとする回答が毎年多数を占めており、今年は63%となっている。とりわけ現在のチーム連携の水準に対する不満を表明しているのがバックアップ管理者で、全体の準備計画にバックアップ戦略をうまく組み込めていないと考えていることがわかった。

インシデントを発見した場合、まずは封じ込め、次に復旧が試みられる。その間、組織や従業員にはIT機能を速やかに復旧しなければというプレッシャーがかかっていることが多い。対応を急ぐことから、回答者の63%が隔離やスキャンを行わずにメインシステムに直接データを復旧する結果となっている。復旧の際に隔離やサンドボックスを使用するなどの対策を取っている組織は37%にとどまった。

さらに、理由はそれぞれ異なるが、回答者の31%が感染したサーバーを消去、復元することはできなかったとしている。このため、他の大規模災害が発生した場合と同様に、復旧用の代替インフラ計画を用意しておくことがきわめて重要だ。レポートでは、復旧にクラウドホスティングインフラを使用するという回答が全体の75%、物理インフラ（元の機器、新しい機器、他のデータセンターの機器など）を使用するという回答が86%を占めた。また、94%もの組織がサードパーティに復旧支援を依頼している。ランサムウェアからの防御に関する良い傾向だ。

バックアップの次へ―ランサムウェアに対する多層防御の構築

明るい兆しは他にもある。回答各社はバックアップに3-2-1ルール（複数種類の媒体を使用する等のプラクティス）を適用するなど、強固なデータ保護・復旧計画を策定している。多くがバックアップ用のイミュータブル（不変）ストレージを用意しており、85%が変更不可のクラウドストレージ、75%が安全なローカルディスクストレージを利用していると回答した。3-2-1ルールでは、今も物理的に分離するのが一般的だ――本番データの54%がクラウドストレージに複製されている一方、47%が磁気テープに保存されている。

レポートでは、ランサムウェアに対抗するためには、包括的なセキュリティ対策と、以下のベストプラクティスを実施することが重要だと強調している。まず推奨しているのは、IT、セキュリティ、法務、事業部門の各チームから代表者を集めてバックアップと災害復旧のための部門横断的な委員会を設置することだ。これらのチームが連携することでサイバーレジリエンスが向上するとしている。

次に、対応計画では、ディスクや磁気テープ、クラウドなど、異なる種類のストレージを使用できるようにしておくことが不可欠だ。安全性の高い変更不可のストレージ（不変リポジトリ）を使用し、バックアップシステムを分離して安全性を保ち、バックアップを復元できることを定期的に確認する必要がある。

最後に、バックアップはクリーンかつ信頼できるものでなければならない。定期的にテストすることで、たとえ最悪のケースでも確実に復元することが可能になる。企業は自社のバックアップデータが復元可能かつクリーンであるかを検証した方がよい。幸いなことに、ほとんどの企業は何らかのイミュータブルなクラウドストレージを使用している。データ保護の領域に関する大きな前進だ。

Ransomware recovery: Progress is being made, but there’s more work to be done