ランサムウェア(お金を払ってデータを解放してもらうまで、データをロックして暗号化するマルウェアの一種)は、決して新しい脅威ではない。最近の報告によると、ランサムウェアによる攻撃は過去5年間で15%増加している。この割合は憂慮すべきものではないかもしれないが、その影響は大きい。平均すると、1回のランサムウェア攻撃で185万ドルという途方もない金銭的負担がビジネスを麻痺させる可能性がある。さらに、多くの組織はランサムウェアの影響を複数回受けることが多い。
組織がランサムウェア攻撃の被害に遭った場合、データ復旧には一般的に身代金を支払うか、バックアップからファイルを復元するかの2つの選択肢があります。しかし、身代金を支払っても必ずしも望ましい結果が得られるとは限りません。ランサムウェアのギャングが提供する暗号化キーを入手して利用するプロセスは非常に時間がかかり、支払い後であってもデータへの即時アクセスが遅れる可能性があります。
従来、ロックされたファイルをバックアップから復元することは、ランサムウェア攻撃から回復するための最も効果的なアプローチでした。しかし、残念ながら、サイバー犯罪組織は、高い収益性と資金力を持つ企業であり、バックアップの有効性を妨げる方法を進化させ、開発してきました。ここでは、従来のバックアップ・ソリューションがランサムウェアの復旧に失敗する可能性がある3つの方法を紹介する。
#1 賢いサイバー犯罪者はバックアップを無効にする
2021年に発生した悪名高いコロニアル・パイプラインのランサムウェア攻撃では、サイバー犯罪組織DarkSideが、アメリカ南東部最大のガソリンとジェット燃料の販売会社であるコロニアル・パイプラインを急停止させた。ランサムウェアは従来、従業員が不正な電子メールを通じて悪意のあるファイルを不注意にダウンロードすることでシステムに侵入しますが、コロニアル・パイプラインの場合、ランサムウェア攻撃は暴露された管理者認証情報を介して開始されました。
この事件から得られた知見は、複数の理由から実に目を見張るものだった。第一に、サイバー犯罪者がランサムウェアを導入する前に、企業のシステムに未知のアクセスをするという慣行が主流になったことである。平均して、このような望ましくないアクセスを検出するのに約6カ月かかり、その間にサイバー犯罪者はあらゆる機会を利用して、保留中のランサムウェア攻撃の効果を高める。これには、マルウェアの検出を遅らせるためにウイルス対策ソリューションを無効にしたり、攻撃への対応を困難にするために管理者アカウントのパスワードを変更したり、プライマリ・バックアップを無効にしたり消去したりすることが含まれる。
Veeamによると、ランサムウェア攻撃の驚異的な93%がバックアップの破壊を試みています。サイバー犯罪者がランサムウェア攻撃の前にバックアップを無効にした場合、身代金を支払う以外の手段はほとんどありません。これは、データを安全に保つための一般的なIT手法に対抗するために、現代のサイバー攻撃がどのように進化してきたかを示す典型的な例である。
#その2 誤解と混乱するIT専門用語
情報技術の複雑な側面の1つは、データを安全に保つために利用可能な用語やオプションが豊富にあることです。データ保護に関しては、バックアップ、フェイルオーバー、アーカイブ、冗長性、地理的冗長性、事業継続性、災害復旧などの違いを理解する必要があります。よくある問題は、経営者が冗長性とバックアップを混同している場合です。
バックアップ・ソリューションでは、データのポイント・イン・タイム・コピーを作成し、別の場所に保存します。一方、冗長化とは、プライマリ・システムがオフラインになった場合に備えて、コア・アプリケーションを複数の場所に保管することです。冗長化では、すべてのデータがそのまま両方の場所にコピーされるため、ある場所でファイルが暗号化されると、冗長化された場所でも暗号化されてしまうという混乱が生じます。バックアップがランサムウェア対策として有効なのは、ランサムウェアが侵入する前に取得したファイルのコピーを復元できるからです。多くの大企業は、ランサムウェアの攻撃を受けた後、データを迅速に復旧する方法を完全に誤解していたことに気づき、愕然とする。
#その3 ヒューマンエラー
データ損失の75%がヒューマンエラーであることをご存知だろうか。私たちは自動化された世界に住んでいますが、テクノロジーは依然として人間の入力に依存しています。バックアップとランサムウェア対策に関して言えば、ランサムウェアの状況下で、人為的なミスがバックアップを無効にする様々な方法があります:
- バックアップソリューションに新しいサーバーやシステムを追加しない
- 手動バックアップチェックの省略または見落とし
- 誤ってファイルを削除してしまう
- 管理者または管理者がソーシャル・エンジニアリング詐欺の被害に遭う
- サードパーティとの統合で発生するエラー
- パッチが適用されていない、または更新されたシステムの運用
これらの例はすべて、過去5年間に少なくとも1件の大規模なランサムウェア事件につながっており、新しい、より高度なソリューションが導入されない限り、今後も問題を引き起こし続けるだろう。
結論
この事実から、ランサムウェア攻撃からの復旧を従来のバックアップソリューションだけに頼っていると、危険にさらされる可能性があります。今すぐ行動を起こし、アーカイブされたファイルへの不正な変更を防ぐNexsanのAssureonのような最新のソリューションを検討してください。本当にデータを失うリスクを冒せないのであれば、今すぐNexsanにご連絡ください。
* 詳細なコンテンツは英語のみでご利用いただけます。