ランサムウェア攻撃の93％がバックアップを標的に

ランサムウェア攻撃の影響と実態

アンケート結果によりますと、82%の組織がイミュータブルクラウドを使用、64%の組織がイミュータブルディスクを使用していました。「イミュータブル」とは「変更不可能」の意味であり、イミュータブルなバックアップソリューションを持つことが、自然災害や人的災害（ランサムウェア攻撃やその他のサイバー攻撃を含む）からバックアップデータを保護する有効な対策となります。

しかし、多くの企業で「変更不可能」であるはずのバックアップソリューションを備えているにも関わらず、企業が受けたランサムウェア攻撃のうち、93％がバックアップサーバーやファイルなどを標的とされており、75%はバックアップに何らかの影響が発生していました。

また、バックアップに何らかの影響が発生しているということは、ランサムウェアに感染しているバックアップをリストアに使用すると、リストア時に本番環境が再感染することになりますが、回答者の56％はバックアップを本番環境にリストアする前にバックアップデータまで感染がおよんでいないかの確認を実施していなかったことが判明しました。隔離されたテストエリアやサンドボックスにリストアし、バックアップデータを確認していた組織は44%でした。

データの復旧にはランサムウェア攻撃の影響を受けていないバックアップが必要であり、復旧時にデータが「クリーン」であることが求められます。バックアップへの影響を防ぐにはイミュータビリティを備えたバックアップソリューションがベストプラクティスではありますが、「クリーン」なデータを保証するものではありません。イミュータブルバックアップソリューションを過信せず、物理的なエアギャップ（オフライン）バックアップの準備や、リストア時のバックアップデータの再スキャンが重要となります。
同レポートではバックアップからの復旧に要する時間も明らかにされています。アンケート結果によりますと、ランサムウェア被害を受け、復旧作業を開始してから完了までに最低でも3週間かかっていました。火災等で物理的にサーバーが失われた場合は復旧作業をすぐに開始できますが、ランサムウェア被害の場合は、サーバーやバックアップデータへの感染有無や再感染の可能性を判断する必要があるため、すぐに復旧に着手できない場合があることに注意する必要があります。

そこで、企業においては、早期に復旧に着手するために、ランサムウェア被害発生時において、誰が、何を、どのように確認や実施すべきかといった当該事案を評価するための対応手順書を整備しておき、手順書に基づいた訓練を実施することが有効です。併せて、事業継続の観点から重要業務を洗い出し、重要業務が一定期間停止した場合に備えた代替策を検討しておくことが望ましいです。

MS&ADインターリスク総研株式会社発行のESGリスクトピックス2023年7月（第4号）を基に作成したものです。

【参考情報】