バックアップが被害を受けたら復旧コストは8倍に ランサムウェア影響調査で判明：セキュリティニュースアラート

Sophosは2023年にランサムウェアの被害に遭っ他企業のITやセキュリティ専門家に調査した結果を公表した。バックアップが侵害されると組織の身代金支払いの可能性が約2倍に増加し、復旧費用も8倍に跳ね上がることが示されている。

[後藤大地，有限会社オングス]

　Sophosは2024年3月26日（現地時間）、2023年にランサムウェア被害にあった企業に所属する2974人のITやサイバーセキュリティ専門家を対象に実施した調査「The Impact Of Compromised Backups On Ransomware Outcomes」の結果を公開した。

　同調査は独立系調査会社Vanson Bourneが2024年初頭に実施し、過去12カ月間における回答者の経験がまとめられている。

バックアップに被害が及べば、ランサムウェア復旧コストは8倍になる

　調査結果から、ランサムウェア攻撃でバックアップが侵害された場合の財務上および運用上の影響が計り知れないものになることが明らかにされている。サイバー攻撃者がバックアップの侵害に成功した場合、組織は身代金を支払う可能性が約2倍になり、バックアップが影響を受けていない組織よりも復旧費用が8倍になっているという。

　レポートの主な注目点は以下の通りだ。

• ランサムウェア攻撃者はほとんどのケースでバックアップを侵害しようとする。この1年間にランサムウェア被害を受けた組織の94％が「サイバー犯罪者がバックアップを侵害しようとした」と回答している
• バックアップ侵害の成功率は業界によって大きく異なる。全てのセクターでバックアップ侵害の試みの57％が成功しており、サイバー攻撃者は被害者の半数以上のランサムウェアの復旧操作に影響を与えた。成功率の違いには幾つかの理由が考えられる。ITや通信、テクノロジーは当初からより強力なバックアップ保護を導入していたため、攻撃に抵抗できた可能性がある。逆にエネルギーや石油／ガス、公益事業部門では、非常に高度な攻撃の割合が高くなっている可能性がある
• バックアップが侵害されると、身代金の要求と支払いが倍増する。バックアップが侵害された組織は、そうでない組織よりもデータが暗号化されている可能性が63％高く、バックアップが侵害された組織の85％が「サイバー攻撃者がデータを暗号化した」と回答したのに対し、バックアップに影響がなかった組織では52％だった。暗号化率が高いことは全体的なサイバーレジリエンスが弱くランサムウェア攻撃の全ての段階に対する防御能力が低下していることを示している可能性がある
• バックアップが侵害された被害者はバックアップに影響がなかった被害者の2倍以上の身代金要求を受けている。サイバー攻撃者はバックアップを侵害した場合、より強い立場にあると感じより高い支払いを要求できる可能性がある。バックアップが侵害された組織はそうでない組織に比べて暗号化されたデータを回復するために身代金を支払う可能性がほぼ2倍だった
• バックアップが侵害されるとランサムウェアの復旧コストが8倍になる。バックアップが侵害された組織のランサムウェア復旧コストの中央値は、バックアップが影響を受けなかった組織の8倍だった。

　Sophosはサイバーリスク軽減に向けて以下の取り組みを推奨している。

• 定期的にバックアップを取り、複数の場所に保管する。サイバー攻撃者がアクセスするのを防ぐために、クラウドバックアップアカウントに多要素認証（MFA）を追加する
• バックアップを使った復旧作業の演習を実施しておく。復旧プロセスに習熟しているほどサイバー攻撃からの回復が迅速かつ容易になる
• バックアップをセキュリティで保護する。バックアップに関する不審なアクティビティーはサイバー攻撃者がバックアップを侵害しようとしていることを示す指標となる可能性があるため監視して対応する

　バックアップが危険にさらされる前に悪意のある脅威アクターを検出して阻止することで、ランサムウェア攻撃が組織に与える影響を大幅に軽減できるとSophosは説明している。バックアップの侵害を防ぐための投資はランサムウェアに対するシステムレジリエンスを高めると同時に、サイバーセキュリティの全体的な総所有コスト（TCO）を削減することにもつながると述べている。