ランサムウェアで影響を受ける社内データは41%、復旧できるのは57% ― Veeam調査
ヴィーム・ソフトウェア(Veeam)は、年次のランサムウェアレポート「2024 Ransomware Trends Report」に関する説明会を開催した。 【もっと写真を見る】
ヴィーム・ソフトウェア(Veeam)は、2024年6月25日、年次のランサムウェアレポート「2024 Ransomware Trends Report」に関する説明会を開催した。 同調査は、2023年にサイバー攻撃を受けた企業の経営幹部やCISO、セキュリティ担当者、バックアップ管理者を含む1200名に対して実施された。 Veeam SoftwareのAPJ地域担当 CTOであるアンソニー・スピテリ(Anthony Spiteri)氏は、「75%の組織がランサムウェア被害にさらされている。バックアップ・復旧が適切に機能して、データの不変性が担保されていないと、企業の信頼が損なわれる可能性がある」と説明する。 ランサムウェアで影響を受けたデータは41%、復旧できたデータは57% 同調査では、2023年に1回でもランサムウェア攻撃を受けた組織が75%に上った。「攻撃を経験していない組織」(25%)よりも「4回以上攻撃を受けた組織」(26%)が多いという深刻な状況だ。 ランサムウェア攻撃では、具体的にどのような被害が発生しているのか。被害を受けた組織では、平均して実データの41%がランサムウェアの影響を受けている。これらのデータのうち、バックアップから復旧できたデータは平均57%にとどまった。 「現状は、ランサムウェアに備えて、自信を持ってデータ復旧できるような状況ではなく、多くの組織が基本的な準備ができていない」(スピテリ氏) 金銭的な被害をみると、財務的影響(被害額)の平均32%を「身代金の支払い」が占めたという。さらに、そうした財務的影響が、保険・保証によってカバーできた割合は平均62%だった。 なお、ランサムウェア被害も対象とするサイバー保険に加入している組織は59%だった。 「サイバー保険はどんどん入りづらく、保険料もどんどん高くなってきている。それでも(被害額の)半分程度しか取り戻せず、給付金が減少したという回答もあった。今では、サイバー保険だけに依存することは難しくなっている」(スピテリ氏) 金銭以外の影響として最も多かったのは「セキュリティチームへのプレッシャー」で45%となった。さらに「生産性の損失」(26%)、「社内サービス・顧客サービスへのアクセス損失」(25%)、「顧客の信頼低下」(23%)が続いた。「ランサムウェアは、顧客だけではなく、社員などすべての人に対して影響を与えるのが重要なポイント」とスピテリ氏。 最後に、データ復旧に関する調査項目を紹介した。ランサムウェア攻撃を受けて「身代金を支払った」組織の割合は、実に81%に上った。「身代金を支払うことで、データを復旧できた」組織が54%、「身代金を支払っても復旧できなかった組織」が27%という内訳となる。 また、ランサムウェア攻撃のほぼすべて(96%)で、攻撃者がバックアップの保管場所を変更・削除しようとする試みが見られた。 一方で、復旧作業を行う際に再感染しないよう、バックアップデータを隔離環境でスキャンしたという組織は37%しかいなかった。 スピテリ氏は、「事前検証をして、自信を持ってバックアップができる環境を構築する必要がある。今後、あらゆるシステムの中で、データの変更や削除を防ぐ“不変性”が重要な要素になってくだろう」と繰り返し強調した。 ランサムウェア対策で重要なのは「業務再開までのシミュレーション」と「実例から学ぶこと」 ヴィーム・ソフトウェアのソリューション・アーキテクトである高橋正裕氏は、「ランサムウェア対策の重要性は広く認知されてきたが、攻撃件数は増加を続けており、被害が発生する前提で備えるべき段階にきている」と説明する。 日本でもランサムウェア被害に関する報道が相次ぐが、攻撃の増加は世界的な傾向だという。特にイギリスやアメリカなどの医療機関や製造業、消費者向けサービスが狙われているという。 高橋氏は、「海外を中心に『身代金を支払う』選択をとることが多いが、再び要求を受けたり、約束を反故にされたりと、解決策にはならない。身代金を前提に考えるより、業務を再開するまでの復旧プロセスをシミュレーションすること、実際の事例から学ぶことが重要になる」と強調する。 例えば、仮想環境やデータセンターがランサムウェア攻撃を受けた場合には、まずはインシデントレスポンスチームが現状を把握する。ただし、この時点でデータセンターはシャットダウンもしくは立ち入り禁止になっている。 そのため、イミュータブル(不変)ストレージにバックアップしていたとしても、誰も触れることができず、復旧やフェイルオーバーも別の場所に展開しなければいけない。このように、あらかじめ復旧プロセスを具体的に検証し、起こりうる攻撃に備える必要がある。 攻撃前、攻撃後のサイバーレジリエンスの強化こそが、ランサムウェア対策の鍵であるといい、Veeamでは、ゼロトラスト・データ・レジリエンス(ZDTR)成熟度モデルとバックアップルール「3-2-1-1-0ルール」を提唱する。 攻撃前のレジリエンスを高めるZDTRは、ゼロトラストセキュリティにバックアップとリカバリの要素を追加した考え方だ。ゼロトラストの原則に加えて、バックアップのソフトウェアとストレージの分離や、複数のレジリエンスゾーン、不変のバックアップ・ストレージといった“データ・レジリエンス”を実践する。 「3-2-1-1-0」ルールは、攻撃後のレジリエンスを高めるための考え方だ。従来の「3-2-1」のバックアップルール(3つのデータコピー、2種類のメディア、うち1つはオフサイト保管)に加えて、「“1つ”の不変バックアップ(またはオフラインバックアップ)」を持ち、「常にテストすることで、バックアップ・リストアのエラーを“0”」にすることを提唱している。 文● 福澤陽介/TECH.ASCII.jp