ランサムウェアに備えてバックアップを見直そう

2023年においても、ランサムウェアの脅威は一向に衰えることはなく、むしろ脅威は増している状況です。

ランサムウェアを悪用するグループは自ら運営する暴露サイトで、窃取した情報を公開していますが、2022年に情報を公開された組織は2900弱であるのに対し、2023年は12月上旬現在で4400余りで、1年で実に50％以上も増加しています。

これは、ランサムウェアの被害に遭う組織が増えているとともに、二重脅迫という手法も確実に増えていることを表していると言えるでしょう。

おっと、すいません。二重脅迫について、説明してませんでしたね。
ランサムウェアに感染すると、データが暗号化されてしまい、暗号化を解除するために身代金を要求されることは、皆さんもよくご存じのことと思います。

この身代金要求に加え、脅迫前にデータを盗み出しておいて、この盗み出したデータを公開すると脅すケースがあります。これが二重脅迫です。

盗み出されたデータには、自社の機密情報や顧客から受け取った情報なども含まれていることもあり、公開されると信用失墜だけでなく、経済的損失にも繋がりかねません。

ただ、二重脅迫はもちろん脅威ですが、それ以前に、IT活用が当たり前の今の時代、データが暗号化されてしまったら、業務が停滞し、お客様をはじめとする取引先に、多大な迷惑をかけてしまいかねません。

実際、ランサムウェアの被害にあった組織では、業務が元通りに復旧するまで、1ヶ月以上かかるケースが約半数で、1週間以上かかったケースと併せると8割を超えます。

復旧までの期間、業務は停滞、または著しく遅滞するので、当然、取引先の業務にも悪影響を与えます。また、従業員の方々も対応に追われて疲弊してしまうでしょう。従業員の方の意欲低下にとどまらず、最悪、離職にも繋がりかねません。

データが復旧できなければ、確かにその通りだけど、「うちでは、ちゃんとデータのバックアップを取っているから大丈夫」と思ってるあなた、こんな風に思っていませんか？

「うちの組織では、別のサーバーや一般的にNASと呼ばれる、いわゆるネットワークハードディスクにしっかりバックしているし、さらに複数のサーバーやNASにバックアップしているから、バッチリOK」だと。

本当にそうでしょうか？
まずは、基本的なことから確認しましょう。
仮にランサムウェアによってデータが暗号化されてしまった場合、普通に考えれば、暗号された状態のデータがバックアップされてしまいます。

つまり、バックアップ先に残るデータも暗号化されたデータということです。
バックアップデータが、世代管理されていて、何世代か前のデータがバックアップされていない限り、バックアップは無意味となってしまいます。

次に、ランサムウェアの被害の特徴に目を向けて見ましょう。
ランサムウェアの被害に遭うと、大抵の場合、犯人グループは、同一ネットワーク内の重要な役割を担っていそうな機器のデータも暗号化しようとします。

もし、他の機器のログイン等の認証が不十分だと、世代管理出来ているバックアップデータでも、丸ごと暗号化されてしまいかねません。

つまり、ランサムウェアの暗号化被害からデータを復旧するためには、バックアップデータが世代管理出来ていて、かつ、第三者では、簡単に認証を突破できないような機器にバックアップする必要があるのです。

通常は、オフサイト、つまり、クラウド環境等に世代管理を行ってバックアップすることが、ランサムウェアの暗号化被害からデータを復旧するためのデータのバックアップに必要とされる要件となります。

いかがでしたか？
皆さんの組織では、上記の要件に合致したデータのバックアップを取得できていますか？
もし、上記要件に合致していないなら、早急にデータのバックアップを再検討してください。

ランサムウェア対策の初めの一歩としては、データの適切なバックアップが欠かせません。
でも、2重脅迫にも備えるには、データの適切なバックアップだけでは不十分なのも事実。

この点については、また、別の機会でお伝えしたいと思います。

このメルマガをきっかけに、皆さんの組織におけるデータのバックアップの状況を点検し、もし、このメルマガで示した要件を満たしていないなら、データのバックアップ方法を、是非、見直してみてください。