ランサムウェア対策を考える～攻撃の93％がバックアップを標的に！

ランサムウェア攻撃で「変更不可能」であるはずのバックアップでも被害が発生

米ヴィーム・ソフトウェア（Veeam）は2023年5月26日に「2023ランサムウェアトレンドレポート」を公表しました。同レポートは、2022年に少なくとも1回はランサムウェア攻撃を受けたことのある1,200 の組織のITリーダーに対するアンケート結果と、約3,000件のサイバー攻撃についての調査をまとめ、ランサムウェアが企業のICT環境に与えた影響および企業のIT 戦略やデータ保護の取り組みの実態について解説しています。

アンケート結果によると、82%の組織がイミュータブルクラウドを使用、64%の組織がイミュータブルディスクを使用していました。「イミュータブル」とは「変更不可能」の意味であり、イミュータブルなバックアップソリューションを持つことが、自然災害や人的災害（ランサムウェア攻撃やその他のサイバー攻撃を含む）からバックアップデータを保護する有効な対策となります。

しかし、多くの企業で「変更不可能」であるはずのバックアップソリューションを備えているにも関わらず、企業が受けたランサムウェア攻撃のうち、93％がバックアップサーバーやファイルなどを標的とされており、75%はバックアップに何らかの影響が発生していました。

また、バックアップに何らかの影響が発生しているということは、ランサムウェアに感染しているバックアップをリストアに使用すると、リストア時に本番環境が再感染することになるにもかかわらず、回答者の56％はバックアップを本番環境にリストアする前にバックアップデータまで感染が及んでいないかの確認を実施していなかったことが判明しています。
隔離されたテストエリアやサンドボックスにリストアし、バックアップデータを確認していた組織は44%でした。

データの復旧にはランサムウェア攻撃の影響を受けていないバックアップが必要であり、復旧時にデータが「クリーン」であることが求められます。バックアップへの影響を防ぐにはイミュータビリティを備えたバックアップソリューションがベストプラクティスではあるものの、「クリーン」なデータを保証するものではありません。イミュータブルバックアップソリューションを過信せず、物理的なエアギャップ（オフライン）バックアップの準備や、リストア時のバックアップデータの再スキャンが重要となります。

同レポートではバックアップからの復旧に要する時間も明らかにされています。アンケート結果によると、ランサムウェア被害を受け、復旧作業を開始してから完了までに最低でも3週間かかっていました。火災等で物理的にサーバーが失われた場合は復旧作業をすぐに開始できますが、ランサムウェア被害の場合は、サーバーやバックアップデータへの感染有無や再感染の可能性を判断する必要があるため、すぐに復旧に着手できない場合があることに注意する必要があります。

そこで、企業においては、早期に復旧に着手するために、ランサムウェア被害発生時において、誰が、何を、どのように確認や実施すべきかといった当該事案を評価するための対応手順書を整備しておき、手順書に基づいた訓練を実施することが有効です。併せて、事業継続の観点から重要業務を洗い出し、重要業務が一定期間停止した場合に備えた代替策を検討しておくことが望ましいといえます。

【参考情報】
2023 年5 月26 日「2023 GLOBAL REPORT RANSOMWARE TRENDS」
https://www.veeam.com/ransomware-trends-report-2023

※本記事は、2023年7月３日発行のMS&AD InterRisk Report・ESGトピックス「ランサムウェア攻撃の93％がバックアップを標的に」を再編集したものです。