Veeam Softwareは、ランサムウェアに関する調査レポート「Veeam 2022 Ransomware Trends Report」の内容を公開した。
過去12カ月間に、少なくとも一度はランサムウェア攻撃の被害を受けた経験がある企業のITリーダー1000人を対象に行った調査で、ランサムウェア攻撃を受けた企業の76%が身代金を支払い、31%の企業がデータの復元に失敗していることが分かった。Veeam Softwareでは、「ランサムウェア攻撃に対する企業の防御策は、依然として不十分であることが判明した」と総括している。
調査対象は、北米や南米、日本を含むアジア太平洋地域、欧州、中東、アフリカ地域の16カ国。CISOやセキュリティ担当者、バックアップ管理者、IT運用担当者を対象に、組織全体のサイバー対策について調査した。独立系市場調査会社のVanson Bourneに委託して実施しており、「この種のレポートとしては最大規模」としている。
調査によると、ランサムウェアによるサイバー攻撃を受けた企業の76%が、継続的な攻撃を食い止めたり、データを回復するために身代金を支払ったりしていることが分かった。
そのうち、身代金を支払ってデータが復旧した企業は52%と半分に留まり、24%の企業は身代金を支払ったものの、データを復旧できなかったという。
同社のCTO兼製品戦略部門シニアバイスプレジデントのダニー・アラン氏は、身代金を支払ってもデータが復旧できていない可能性を示しながら、「身代金を支払ったからといって必ずしもデータが復旧するという保証はなく、企業の風評被害や顧客からの信頼を失うリスクも高い。そして、さらなる犯罪行為を助長することにつながる。サイバー犯罪者に身代金を支払い、データを復元することは、データ保護戦略とはいえない」と指摘した。
また、94%のサイバー攻撃者が、被害者が身代金を支払わずに復旧できないように、バックアップストレージを破壊して、復旧能力を無効化しようとしており、そのうち72%のケースで、この試みが部分的に成功したことが確認されているという。
同社では、「復旧のライフラインを取り除くことは、被害者が身代金を支払う以外に選択肢を与えなくするために、よく使われる攻撃戦略である」と指摘し、「このシナリオからデータを保護する唯一の方法は、ディスク、クラウド、テープといったデータ保護フレームワークのなかに、イミュータブル(不変性)階層またはエアギャップ階層を設けることである」とした。
サイバー攻撃のきっかけは悪意あるリンクのクリックやフィッシングメールの開封などから
調査によると、95%の企業が最低1つの不変またはエアギャップされたデータ保護階層を持ち、74%が不変性を提供するクラウドストレージを持っていたり、67%が不変性またはロックを備えたオンプレミスディスクストレージを持っていたりする。また、22%がエアギャップされたテープを使っているという。さらに、ディスクストレージへの保存のほか、本番データがテープに保存している企業は45%、データライフサイクルの一部をクラウドに移行している企業は62%に達したという。
その一方で、19%の企業が、身代金を支払わずに、自身でデータを復旧できたという。
同社のアラン氏は、「データ保護戦略では、企業は決して身代金を支払わず、攻撃の防御、修復、復元のために全力を尽くすという明確な方針を打ち出すことが大切である。ランサムウェアの脅威がまん延している昨今において、企業はランサムウェアを前にして無力であるのは誤りであり、データ保護ソリューションと復旧手順の厳格なテストを定期的に実施し、企業内の主要な関係者が最悪のシナリオに備えるための詳細な事業継続計画を策定することが大切である」とした。
だが、バックアップの検証と復旧性を自動化し、サーバーが復元可能であることを確認している企業は16%に留まっている。これらの企業のうち、46%は、ランサムウェア攻撃を修復する際に、隔離されたサンドボックス、テスト領域などを使用して、復元したデータがクリーンな状態であることを確認できるようになっているという。
調査では、半数以上の企業が、データを保護するために、サイバーセキュリティプロトコルの全面的見直し、あるいは大幅改善が必要であることを認めているという。
また、複数の企業は、サイバー攻撃の80%が既知の脆弱性をターゲットにしていることを認識しており、ソフトウェアのパッチ適用とアップグレードの強化を重要視している一方で、サイバー攻撃のきっかけは、悪意のあるリンクをクリックしたり、安全でないウェブサイトにアクセスしたり、フィッシングメールを開封したことをきっかけに、本番環境にアクセスされることがほとんどであり、多くのケースが回避可能な性質を持っていることが改めて明らかになったという。
さらに、サイバー攻撃の防御にはIT部門とユーザー側の両方が注意を払う必要があると指摘。「本番環境へのアクセスに成功した後は、データセンターのサーバーや、リモートオフィス、クラウドホスティングなど、攻撃対象は多岐にわたり、それらにおいて、感染率の差はほとんどない。侵入者は、一般的なオペレーティングシステムやハイパーバイザー、NASプラットフォーム、データベースサーバーなどの既知の脆弱性を利用し、パッチが適用されていないソフトウェアや古いソフトウェアを見つけると、手段を選ばず悪用している」と述べている。
また、アラン氏は「ランサムウェアは、誰もがデータの盗難を扱えるような『民主化』をもたらしている。こうした状況に対して、身代金を支払うことなく、データの修復と復元を行う力を最大化するために、あらゆる業界の企業、組織が連携することが必要である」と提言している。
今回のレポートは、米ラスベガスで開催中の同社年次イベント「VeeamON 2022」で発表されたもので、会場とオンラインをあわせて4万5000人が参加。2021年12月にCEOに就任したアナンド・エスワラン氏の基調講演などが行われた。会期中には、2023年に向けた製品ロードマップも公表。エスワランCEOは、「Veeamは、データ保護ベンダーとして同率1位になった。そして、クラウド、SaaS、Kubernetesのビジネスを大きく成長させている。IT業界のマクロトレンドは、ランサムウェア攻撃の脅威やマルチ/ハイブリッドクラウドアーキテクチャの世界的な採用などである。Veeamは最も堅牢なソリューションを顧客に届けたい」とした。