** 本記事は、The impact of compromised backups on ransomware outcomes の翻訳です。最新の情報は英語記事をご覧ください。**
ランサムウェア攻撃で暗号化されたデータを復元する方法には、主にバックアップからの復元と身代金の支払いの 2 つがあります。組織のバックアップを侵害することで、攻撃者は被害者が暗号化されたデータを復元するのを制限し、身代金支払いへの圧力を強められます。
今回の分析では、バックアップの侵害がランサムウェア攻撃の経済的およびオペレーション面の成果に与える影響を調査しています。また、バックアップ侵害が成功した業界別の割合にも注目しています。
今回の調査結果は、ソフォスにより委託された、過去 1 年間にランサムウェアの被害を受けた IT/サイバーセキュリティ専門家 2,974 人を対象としたベンダー横断型の調査に基づいています。この調査は、独立系調査機関 Vanson Bourne が 2024 年初めに実施したもので、回答者の過去 12 か月間の経験を反映しています。
エグゼクティブサマリー
今回の分析により、ランサムウェア攻撃でバックアップが侵害された場合の経済的および業務上の影響は甚大であることが明らかになりました。攻撃者がバックアップの侵害に成功した場合、組織が身代金を支払う可能性はほぼ 2 倍になり、バックアップが侵害されなかった組織と比較して、復旧に要する総費用が 8 倍になります。
バックアップが侵害される前に悪意のある攻撃者を検出し、阻止することで、ランサムウェア攻撃による組織への影響を大幅に軽減できます。バックアップ侵害の防止に投資することで、ランサムウェア攻撃への耐性を高めると同時に、サイバーセキュリティの総所有コスト (TCO) を削減できます。
知見その 1: ランサムウェアの攻撃者はほぼすべての攻撃でバックアップの侵害を試みる
過去 1 年間にランサムウェア攻撃の被害を受けた組織の 94% が、攻撃中にバックアップの侵害の試みがあったと回答しています。この数字は、州政府、地方自治体、メディア、レジャー、エンターテイメント業界の組織では 99% に達しました。攻撃者バックアップの侵害を試みた割合が最も低かったのは流通・運輸業でしたが、それでもランサムウェア攻撃の被害を受けた 10 社に 8 社以上 (82%) は、攻撃者がバックアップへのアクセスを試みたと回答しています。
知見その 2: バックアップ侵害の成功率は業界によって大きく異なる
すべての業界において、バックアップ侵害の試みの 57% が成功しています。つまり、ランサムウェアの攻撃者は被害者の半数以上の復旧作業に影響を与えています。興味深いことに、分析の結果、バックアップ侵害の成功率には業界によってかなりのばらつきがありました。
- バックアップ侵害に成功した割合が最も高かった業界は、エネルギー、石油/ガス、公益事業 (成功率 79%) および教育 (成功率 71%) でした。
- 逆に、IT、テクノロジー、テレコム業界 (成功率 30%) と小売業界 (成功率 47%) では、バックアップ侵害の成功率が最低でした。
成功率の違いにはいくつかの理由が考えられます。IT、テレコム、テクノロジー業界の組織は、もともと強力なバックアップ保護を導入していたため、攻撃に対抗しやすかったと考えられます。また、攻撃者が攻撃を成功させる前に、侵害の試みをより効果的に検知し、阻止できた可能性もあります。逆に、エネルギー、石油/ガス、公益事業では、非常に高度な攻撃の割合が高かった可能性もあります。原因が何であれ、バックアップ侵害の影響は非常に大きくなり得ます。
知見その 3: バックアップが侵害されると、身代金の要求額および支払額は倍増する
データの暗号化
バックアップが侵害された組織では、そうでない組織よりもデータが暗号化される可能性が 63% 高くなっていました。バックアップが侵害された組織の 85% が、データを暗号化されたと回答したのに対し、バックアップが侵害されなかった組織では 52% でした。暗号化率が高いということは、全体的なサイバー耐性の低さ、すなわちランサムウェア攻撃のすべての段階に対する組織の防御力が低いことを示している可能性があります。
身代金の要求
バックアップが侵害された被害者は、バックアップが侵害されなかった被害者の平均 2 倍以上の額の身代金を要求されており、要求額の中央値はそれぞれ 230 万ドル (バックアップが侵害された場合) と 100 万ドル (バックアップが侵害されなかった場合) でした。バックアップの侵害に成功した攻撃者は、自らが優位な立場にあると感じ、高額な支払いを要求するようです。
身代金の支払い率
バックアップが侵害された組織は、暗号化されたデータを復元するために身代金を支払う割合 (67%) が、バックアップが侵害されなかった組織 (36%) に比べて約 2 倍になっていました。
身代金の支払い金額
バックアップが侵害された組織が支払った身代金の中央値は 200 万ドルで、バックアップが無傷のままだった組織 (106.2 万ドル) のほぼ 2 倍でした。また、身代金の支払い額を引き下げる交渉力も低く、バックアップが侵害された組織は平均して要求額の 98% を支払っていました。バックアップが侵害されなかった組織は、支払額を要求額の 82% に抑えていました。
知見その 4: バックアップが侵害された場合、攻撃からの復旧コストは 8 倍になる
すべてのランサムウェア攻撃で身代金が支払われるわけではありません。また、支払われた身代金は、ランサムウェア攻撃に対処する際の全体的な復旧コストの一部に過ぎません。ランサムウェア攻撃によって機能が停止すると、IT システムの復旧作業は複雑で高額になる上、多くの場合、日々の商取引にも多大な影響が及びます。
ランサムウェアにバックアップが侵害された組織が要した総復旧費用の中央値 (300万ドル) は、バックアップに影響がなかった組織 (37万5,000ドル) の約 8 倍でした。この差には複数の理由があると考えられます。十分に準備されたバックアップに比べて、データを復号して復旧するために通常必要とされる作業が増加するからかもしれません。あるいは、バックアップの保護が脆弱であるということは、そもそも防御が強固でなく、再構築に多くの作業が必要になるからかもしれません。
さらに、バックアップが侵害された組織は復旧にかなり時間を要します。バックアップが侵害された組織では、1 週間以内に完全に復旧した割合はわずか 26% であったのに対し、バックアップが侵害されなかった組織では 46% でした。
推奨される対応
バックアップは、包括的なサイバーリスク削減戦略にとって重要です。バックアップがオンラインでアクセス可能な場合、攻撃者に狙われていると考えるべきです。組織は以下の対策を取ってください。
- 定期的にバックアップを取り、複数の場所に保存する。クラウドバックアップのアカウントに MFA (多要素認証) を追加し、攻撃者によるアクセスを防ぎます。
- バックアップからの復旧をシミュレートする。復旧プロセスに慣れれば、それだけ素早く簡単に攻撃から回復できるようになります。
- バックアップを保護する。バックアップに対する不審な活動は、攻撃者による侵害の兆候である可能性があるため、バックアップを監視し、対応します。
ランサムウェア対策に効果を発揮するソフォスの製品とソリューション
Sophos MDR: 500 人以上の専門家がお客様の組織を監視・防御します。
Sophos MDR は、テクノロジーだけでは防ぐことのできない高度な攻撃の阻止に特化した、24 時間 365 日対応の専門家主導型マネージド検知・対応サービスです。500 人以上の専門家がお客様の環境を監視し、不審なアクティビティやアラートを検出、調査、対応します。
Sophos MDR のアナリストは、バックアップやリカバリソリューションなど、すでに使用しているセキュリティツールからのテレメトリを活用して、被害が発生する前に攻撃を検出し、無効化します。脅威への対応時間は平均わずか 38 分であり、Sophos MDR は次の脅威がやって来る前に迅速に対応します。
Sophos XDR: IT チームによる攻撃の検出と対応の実現
組織の IT チームはすべての主要な攻撃経路において、多段階型の脅威を最短時間で検出、調査、対応するために必要な可視化、洞察、ツールを獲得するために Sophos XDR を活用できます。Sophos XDR を使用することで、バックアップおよびリカバリソリューションだけでなく、より広範なセキュリティスタックからのテレメトリを活用して、攻撃を迅速に検出し、対応できます。