ランサムウェアが与えるビジネスインパクト

 

ランサムウェアによって被害を受けた国内企業・組織の被害に関する報道が珍しくなくなってきています。警察庁が発表した「令和3年におけるサイバー空間をめぐる脅威の情勢等について」によると、警察庁に報告のあった昨年度の国内ランサムウェア被害件数は147件であり、半年ごとの集計では増加傾向にありました。パロアルトネットワークスが公開した「2022年度版:Unit 42 ランサムウェア脅威レポート」(以下、ランサムウェア脅威レポート2022)においても、ランサムウェアを悪用するサイバー犯罪者による被害件数・身代金額においても前年より増加していることがわかります。

ランサムウェアの攻撃が成功すると、企業や組織はビジネスに深刻な影響を与える以下の3つの被害に直面します。

  • 高額な身代金の要求
    犯罪者は意図的にビジネスクリティカルなシステムやファイルをターゲットに暗号化を行い、高額な身代金を要求してきます。ランサムウェア脅威レポート2022によれば、平均身代金要求額は約220万ドル、そして平均身代金支払額は約54万ドルであり、前年の調査に比べて高額化しています。
  • 盗み出された情報の公開
    ランサムウェア対策のベストプラクティスの一つは定期的なオフラインバックアップでした。たとえデータが暗号化されたとしてもバックアップから回復することができれば身代金支払いに応じる必要がないためです。そのため攻撃者は戦術を変更し、侵入した際に盗み出した機密情報をダークウェブ上に開設したリークサイトで公開すると脅して金銭を要求する二重脅迫を行うようになりました。弊社の調査によると、2021年にリークサイトを利用した新しいランサムウェアグループは35あり、リークサイトに掲載された被害組織の総数は2,566にのぼります。そのうち国内組織は34あり、さまざまな業種で被害にあっていることが確認されています(図1)。
リークサイトに公開された日本の被害組織の業界別の内訳。もっとも被害が多かったのは資本財で、次点がテクノロジー・ハードウェア機器。自動車・部品、商業・専門サービス、食料・飲料・タバコ、運輸が続く
リークサイトに公開された日本の被害組織の業界別の内訳
  • 侵害に伴う事業の停止
    重要なシステムが暗号化されたり攻撃者の侵害範囲が広範にわたると、調査・復旧に必要な期間が長くなり事業への影響が大きくなります。被害状況によっては事業の一部もしくは全部を停止する場合もあります。昨年カナダで行った調査では、ランサムウェアの被害から復旧するまで1ヶ月以内だった組織はわずか41%であり、復旧に半年近くかかった組織が9%あることも判明してます。また、事業停止期間の長期化を避けるためかもしれませんが、ランサムウェアの支払いに応じた組織は58%ありました。

2022年3月、弊社SNSアカウント(LinkedInTwitter)上で、ランサムウェアの被害で憂慮している点について簡易なアンケート調査を行いました(図2および図3)。

図2 LinkedIn におけるアンケート結果
図2 LinkedIn におけるアンケート結果
図3 Twitterにおけるアンケート結果
図3 Twitterにおけるアンケート結果

どちらの調査においても、ランサムウェアの被害に関しては全てが心配、という結果が多数を占めています。ビジネスインパクトの大きい複数の被害を一度に受ける可能性があるため、ランサムウェアをはじめとするサイバー攻撃は事業継続にかかわる重大なリスクの一つとして対処する必要があります。

サイバー攻撃からビジネスの中核を守る防御力と高いレジリエンスを得るためには、まず次の3項目から始めることをお勧めします。

  • 進化する脅威に関する最新情報を得る
    サイバー攻撃者の大半は利益を目的として活動しているため、常に防御をかいくぐるよう戦術や技術、手口を進化させています。防御のためには脅威の最新情報を知り、適切な対策をたてることが必要です。一方、サイバー攻撃は技術的な問題だけではなく、ビジネスを進める上で対処が必要な最重要課題の一つになっています。セキュリティチームは経営層や様々なステークホルダーに対して現在の脅威状況をビジネスの言語を用いて解説し理解を深めてもらうことでビジネス戦略に沿ったセキュリティの実現に共同で取り組めるようにします。
  • 重要データを失った場合のビジネスインパクトを分析する
    まずは資産を把握し、重要なデータやシステムがどこに存在し、誰がどうやってアクセスしているのか知る必要があります。その上で、これらの重要データやシステムへのアクセスが不可能になった場合のリスクについての分析を行います。例えば小売店のPOSシステムがダウンした、工場の製造装置が止まってしまった、経理システムへのアクセスが不可能になった、といったシナリオでのダウンタイムやビジネスへの影響について把握しましょう。
  • セキュリティインシデントに対する準備状況評価する
    組織のセキュリティ体制について評価を行います。準備状況を知ることで、戦略的なビジネス目標に沿った組織のセキュリティ目標の要件を定義し、優先順位を付けたセキュリティ対策ロードマップを作成することが可能です。その際、人、プロセス、テクノロジー、ガバナンス、サプライチェーン、パートナー、サードパーティといったように、技術面だけに偏るのではなくビジネス全体についてのリスクと状況について理解を深める必要があります。

ランサムウェア脅威レポート2022ではランサムウェアに関する詳細な分析や攻撃手法の傾向、またセキュリティを高めるその他の推奨事項を紹介しています。ぜひご覧ください。