見出し画像
Photo by futen_seisuke

ランサムウェア攻撃を受けた後の対応は:復旧戦略の重要性!

クライム・セールスエンジニア部隊

ランサムウェアの頻度と深刻度が増すにつれ、企業は侵害後の回復に奔走し、影響を最小限に抑えようとしています。しかし、単に立ち直るだけでなく、将来の脅威を寄せ付けないようにするための体系的なアプローチがあるればどうするでしょうか?ここでは、ランサムウェアの復旧計画を紹介。これにより、チームはデータを復旧するだけでなく、復旧を第一に考えるようになります。

水ぼうは 一度復旧すれば、その試練を繰り返す可能性はほぼゼロです。残念ながら、ランサムウェアはそのような経験ではありません。それどころか、ランサムウェアによる情報漏えいに見舞われた場合(例年72%の組織が見舞われている)、特に身代金を支払った場合は、再攻撃に直面する可能性が高くなるだけです。実際、最初の侵害から数カ月後に再びランサムウェアに感染するリスクは、600%近く増加するというデータもあります。

このため、ランサムウェアのリカバリー(復旧)を、単にインシデントを乗り切って次に進むこと以上のものにすることが非常に重要なのです。今後の攻撃で再び身代金を支払わなければならない事態を避けたいのであれば、あるいは、すべてのケースで現実的ではありませんが、攻撃の発生を完全に防ぐことができればさらに良いでしょう。

そのために、ここではランサムウェア攻撃の被害に遭った後の対応方法について説明します。このブログのヒントは、攻撃によって被った金銭的・風評的な損失を帳消しにすることはできませんが、不利な状況を打破し、再び同じような損失を被るリスクを最小限に抑えるのに役立つはずです。

ランサムウェアの復旧とは?

ランサムウェアからの復旧には、ランサムウェア攻撃の影響を軽減し、通常業務を回復するために完了しなければならないいくつかの重要なタスクが含まれます。攻撃直後は時間が重要な要素となるため、データ損失を最小限に抑え、ビジネスの継続性を維持するための迅速な対応が必要となります。

主なタスクは以下の通りです:

  • 被害の評価: パニックに陥る前に、セキュリティ・チームを集め、侵害の程度を評価し、今後の取り組みの優先順位を決めるのが最善です。これが次のステップに役立ちます。

  • 早急なコミュニケーション: 信頼を維持し、危機が回避されつつあること、つまり復旧対策が実際に実施されていることを保証するためには、透明性のあるコミュニケーションを行い、すべての利害関係者に情報を共有することが重要です。(もちろん、災害復旧計画を策定していれば、このようなことははるかに容易です。)

  • 災害復旧計画の実行: ここで重要なのは、しっかりとしたゲームプランを持つことです。文書化され、使い慣れ、チームが簡単にアクセスできるものでなければなりません。

  • セキュリティの強化: 塵も積もれば山となる、セキュリティ対策の見直しとアップグレード(パスワードや権限の強化、ソフトウェアの更新など)。また、DR計画に不都合があった場合は、直ちに対処する必要がります。

ランサムウェア復旧計画の重要性

ランサムウェア攻撃の頻度と巧妙さが増していることを考えると、その危険性がかつてないほど高まっていることは明らかです。サイバー犯罪者が要求する身代金の支払いに頼ることなく、迅速かつ安全に制御を取り戻し、ビジネスの継続性を回復する能力は極めて重要です。

ランサムウェアの復旧計画は、単にデータを復旧するだけではありません。企業は、ランサムウェア攻撃は避けられないものであり、積極的な姿勢が必要であることを認識し、復旧ファーストの考え方を採用しなければなりません。そうすることで、情報漏えいの未遂について顧客に知らせるという課題に直面した際に、問題が迅速に解決されたことを自信を持って伝えることができるようになります。

ランサムウェア攻撃後にすべきこと

ランサムウェアの復旧について最初に理解しておくべきことは、短期的なプロセスと長期的なプロセスの両方があるということです。

短期的には、ランサムウェアからの復旧には、ユーザが通常業務に戻れるように業務を復旧させることが含まれます。理想的には、身代金を支払うことなくシステムを復旧させることができるデータ・バックアップを使用します。残念ながら、バックアップ・ベースの復旧に成功している企業は少ない状況です。2023年の調査レポートによると、バックアップを使用してランサムウェア攻撃からの復旧に成功した企業はわずか16%でした。残りの組織は、バックアップをまったく取っていないか、バックアップからうまく復旧できなかったかのどちらかです(後述するように、バックアップがあるだけでは、実際にバックアップを使って復旧できる保証はありません)。その結果、ほとんどの企業は身代金を支払って事業を継続しなければならなくなりました。

長期的なランサムウェアからの復旧については、何が問題だったのかを突き止め、二度と同じことが起こらないようにするための綿密なプロセスを指します。ランサムウェアからの復旧でのこの部分は、攻撃後、通常通りに戻ってしまうと見落としがちでした。しかし、今後の攻撃に対する防御を強化するための長期的な復旧作業がなければ、身代金を支払う以外に復旧する手段がないまま、何度もハッキングされる可能性が高くなります。

ランサムウェア攻撃の事後処理 :ランサムウェアの復旧戦略

ランサムウェアからの短期的な復旧が完了したら、長期的な復旧プロセスとして、どのような過失がランサムウェアの侵害にさらしたのか、そして今後どのようにリスクを最小限に抑えることができるのかを多面的に分析する必要があります。

以下は、重点的に取り組むべき主な分野です。

サイバーセキュリティ防御の強化

まず、最も明白なことですが、どのサイバーセキュリティの欠点が脅威行為者に貴社のデータを人質に取らせたのか、また、脅威行為者が同じことを繰り返さないようにするために何ができるのかを見極めます。

例えば、従業員がフィッシング攻撃に引っかかり、脅威行為者にアクセス認証情報を渡してしまったためにデータが人質に取られたのであれば、フィッシング対策教育は攻撃後の賢明な投資です。またこのような保護機能を導入することで、攻撃者をデータから切り離すことができます。同様に、攻撃者がソフトウェアの脆弱性を悪用した場合、パッチの適用を倍増させることで、将来のランサムウェア攻撃から保護することができます。

しかし、サイバーセキュリティにいくら投資しても、二度とランサムウェア攻撃が成功しないという保証はないということを肝に銘じておく必要があります。防御を強化し、最初のインシデントで攻撃者の侵入を許したギャップを埋めることは確かに必要だが、将来の攻撃から免れるとは決して考えないことです。

結局のところ、ランサムウェア攻撃の頻度は前年比で上昇し続けているというデータが示しています。IBMのデータ入手型侵害コストに関する調査から可能な最新のデータによると、ランサムウェア・インシデントの平均コストも過去最高を記録しています。

こうした傾向は、企業がサイバーセキュリティに費やす金額が増加しているにもかかわらず生じています。つまり、これは防御への投資は増加しているが、ランサムウェア攻撃の頻度と影響も増加しているということです。サイバーセキュリティだけで情報漏えいを防ぐことができるのであれば、逆の傾向が見られるはずです。

包括的なデータバックアップへの投資

将来のランサムウェア攻撃を防ぐことが不可能であることを考えると、データのバックアップ戦略を強化することも、長期的なランサムウェア復旧の重要な要素です。

このプロセスは、RPORecovery Point Objective)とRTO(Recovery Time Objective)の目標に沿った間隔ですべてのデータをバックアップしていることを確認することから始める必要があります。RPOとRTOは、業務を効果的にリストアするのに十分な最新のデータを確保するために、どの程度の頻度でデータバックアップを実行する必要があるかを決定します。

バックアップがランサムウェアから保護するのに有効でないことが判明する一般的な理由の一つは、この領域での誤解です。例えば、直近のバックアップ・データが1週間前のもので、その時点からビジネスが生きていく上で欠かせない重要な情報が生成されていた場合、バックアップからの復元を選択すると重要な情報を永久に失うことになるため、身代金を支払う価値があると判断するかもしれません。

データ復旧ルーチンのテスト

バックアップの作成は、将来のランサムウェアのリスクを軽減するための第一歩に過ぎません。バックアップを使用してシステムを迅速かつ効果的に復元できることも確認する必要があります。

リカバリ中には、予期せぬ様々な問題が発生する可能性があります。ストレージ・システムのハードウェアの劣化によりデータのバックアップが破損し、バックアップに基づく復元が不可能になる可能性があります。ネットワーク帯域幅やディスクI/O速度の制限により、バックアップ・ストレージから本番システムへのデータ移動に予想以上に時間がかかり、その間にビジネスが休止状態になる可能性があります。元々ワークロードをホストしていたクラウドや環境とは異なるクラウドや環境でオペレーションをリストアしようと計画していたのに、リカバリー作業中にソフトウェアの非互換性の問題がプロセスを著しく複雑にしていることに気づくかもしれません。このようなリスクやその他のリスクがあるため、組織はデータのバックアップが手元にあったとしても、バックアップを使用して十分に迅速に復旧できないという理由だけで、身代金の支払いを選択することになるかもしれません。

このような問題に先手を打つには、バックアップとリカバリーのテストが必要です。定期的に復旧訓練(災害復旧イベントのシミュレーション)を行うことで、ランサムウェア攻撃のようなインシデントが発生した場合に、チームが実際に必要な時間内に業務を復旧できるかを検証することができます。

不変バックアップへの投資

復旧ルーチンの失敗と並んで、バックアップを使用してランサムウェアからうまく復旧するためのもう一つの脅威は、攻撃者がバックアップデータを削除または暗号化するリスクです。これは、脅威者が本番データだけでなく、バックアップ・インフラも侵害する可能性があります。

このリスクを軽減するために、イミュータブル・バックアップの作成を検討してください: 変更できないバックアップのことです。イミュータブル・バックアップは、攻撃者がバックアップ・データを操作するのを防ぎ、バックアップを使用してリカバリするときに、実際にリカバリできるようにします。

クロスアカウント災害復旧の計画

クロスアカウント復旧は、データバックアップを使用してランサムウェア復旧を成功させる可能性を最大化するもう1つの方法です。クロスアカウント復旧では、データを元々所有していたアカウントとは別のクラウドアカウントを使用してデータを復元できます。

これは、クラウド・アカウント全体が侵害され、別のアカウントでクラウド環境を再構築する必要がある場合に便利です。また、クラウドアカウントがどのようにハッキングされたのか不明で、それを解明するのに時間を費やす代わりに、新たに作成した別のアカウントで操作を復元したい場合にも、クロスアカウント・リカバリーが有効です。

クロス・クラウド・リカバリーの実装

同様に、クラウドアカウントをまたいでデータを復元できることも、将来のランサムウェアの脅威に対する耐性を最大限に高める方法です。つまり、使用しているクラウド環境の1つが攻撃者によって侵害された場合、別の安全なクラウドでワークロードを迅速に復元することができます。

サイバー保険の検討

長期にわたるランサムウェアの復旧プロセスは、サイバー保険が賢明な投資となるかどうかを検討する良い機会となります。サイバー保険は、将来のランサムウェア攻撃からビジネスを経済的に保護し、別の侵害によって組織が致命的な打撃を受けるリスクを低減します。

確かに、サイバー保険がランサムウェアのリスクを軽減するための最善のソリューションとは限りません。効果的なサイバーセキュリティの防御策とデータのバックアップとリカバリのルーチンを導入し、ランサムウェアの攻撃に強いビジネスを実現することに主眼を置くべきです。それでも、サイバー保険はもう1つの保護層を作る手段であり、他の分野ですでにランサムウェアの防御を最適化しているのであれば、その価値はあるかもしれません。

ランサムウェア攻撃から立ち直ることはできる

ランサムウェア攻撃の被害に遭うのは最悪の出来事です。しかし、もっと悪いのは、最初の失敗から学ばず、繰り返される攻撃に備えることです。その代わりに、ランサムウェア攻撃後の期間を、将来のランサムウェアリスクに対する多面的な保護(サイバーセキュリティの強化、データのバックアップとリカバリーの強化、サイバー保険の導入など)に投資する機会として扱うことです。

これらのソリューションを組み合わせることで、将来再びランサムウェア攻撃に直面することがないように、また、万が一攻撃を受けても攻撃者に金銭を渡すことなく復旧できるようにすることができます。

クライムは、包括的なランサムウェア保護戦略を実施するために必要な多くのソリューションを提供します。クロスアカウントやクロスクラウドリカバリーのような機能により、攻撃者がアカウントやクラウド全体を侵害した場合でも、迅速に業務を復旧することができます。一方、不変のバックアップとディザスタリカバリテストは、防御のレイヤーを追加し、最悪のランサムウェアインシデントからも正常に回復する能力を最大化します。

この記事が気に入ったらサポートをしてみませんか?