サイバーリーズンが2022年に実施した調査結果である『2022年版 ランサムウェア 〜ビジネスにもたらす真のコスト〜』によると、回答者の73%が過去24ヶ月間にランサムウェア攻撃を経験していたことが明らかになりました。このうち28%は、身代金を支払ったと答えています。WSJ Pro Researchがサイバーセキュリティ関連のリーダーを対象に行った調査では、42.5%が「身代金の支払いを検討したことがある」と回答しています。

また、「身代金の支払いを検討したことがある」と回答したリーダーのうち、74%が建設業界、51%が技術系業界、43%がエネルギー・石油・公共事業業界に従事していることが判明しています。

■身代金を支払う可能性が高い業種ランキング

  1. 建設(74%)
  2. 技術系企業(51%)
  3. エネルギー・石油・公共事業(43%)
  4. IT(約33%)
  5. 小売(約33%)
  6. ビジネスおよびプロフェッショナルサービス(約33%)
  7. 公共機関(18%)

出典:WSJ Pro Research

サイバーセキュリティ、ITリスク、およびコンプライアンス関連のソフトウェアを提供する企業であるCyberSaint社が行った調査によれば、エネルギー・石油・公益事業に従事している回答者のうち43%が「自分の会社は身代金を支払ったことがある」と答えており、IT、小売、ビジネスおよびプロフェッショナルサービス分野に従事している回答者のうち3分の1以上が、同じく「身代金を支払ったことがある」と答えているとのことです。

なお、当然ながら、身代金の支払いに応じる可能性がより高い業種ほど、ランサムウェアアクターに狙われる可能性がより高い業種でもあります。Nordlocker社が行った調査によると、ランサムウェア攻撃を受けやすい業種ランキングは次のようになります。

■ランサムウェア攻撃を受けやすい業種ランキング

  1. 製造
  2. 建設
  3. 運輸・物流
  4. 技術
  5. 医療
  6. 金融サービス
  7. 公共部門
  8. ビジネスサービス
  9. 小売
  10. 消費者サービス

サイバーリーズンが行った独自の調査によれば、ランサムウェア攻撃を最も受けやすい業種は、法務(92%)、金融サービス(78%)、製造(78%)、人材サービス(77%)などでした。

身代金を支払う可能性が高い業種とそうでない業種があるのはなぜでしょうか?建設会社の場合、ランサムウェア攻撃を受けることは計画が失われることを意味します。そしてその結果、大型契約の作業が停止し、納期に間に合わせることが困難になるほか、自社のポートフォリオに含まれている下流プロジェクトを危険にさらすことになります。

技術系企業の場合、ランサムウェア攻撃を受けると、知的財産、製品計画、顧客情報などの非常に機密性が高くかつ競争力のある資産がハッキングされる可能性があります。電気・水道・ガス会社や医療機関の場合、ランサムウェア攻撃を受けると、停電が引き起こされる可能性や、医療行為が行えなくなる可能性があるため、さらにリスクが高くなります。つまり、これらの業界およびその他の業界において「身代金を支払う理由」は「やむにやまれぬ切実なもの」なのです。

しかし、その一方で、「身代金を支払わない理由」もまた切実なものであることに変わりはありません。そのことを下記に示します。

身代金を払うとどうなるか?

通常、企業はビジネスの中断を防ぎ、データの復旧を早めるために身代金を支払います。しかし、当社の調査によれば、身代金を支払うことにより次のような悪影響が発生しがちであることが分かっています。

  • 身代金を支払うことで複合化ツールを入手し、ツールを実行したとしても、データは破損したままとなる可能性があります。ランサムウェアオペレーターがフェアプレーを行うことはまずありません。たとえば、BleepingComputeのレポートでは、FBIはProLockランサムウェアの復号化ツール(つまり、身代金を支払って手に入れるもの)は「トロイの木馬」であり、64MBより大きなサイズのファイルを破損させる可能性があることを発見したと紹介されています。また、サイバーリーズンのレポートによれば、身代金を支払った企業の半数はデータを無傷の状態で取り戻しましたが、46%は複合化したデータの一部または全部が破損していたという事実もあります。
  • 連邦法に違反する可能性があります。身代金を支払うという行為に関しては、法律上の問題が存在する可能性があるからです。米国財務省の外国資産管理局(OFAC)は、サイバー犯罪関連の制裁プログラムを実施しており、同プログラムでリストアップされている人物(ランサムウェアオペレーターを含む)と「取引する」ことは違法となります。
  • 再び攻撃を受ける可能性があります。Cybereasonの調査によると、身代金を支払った企業のうち、80%が再び攻撃を受けており68%が同月内に、より高い額の身代金を要求する攻撃を受けたとのことです。REvilランサムウェアの場合、攻撃者は、被害者が身代金を支払った直後に同じ被害者に再度接触し、二重脅迫スキームを通じてより多くの金銭を要求します。つまり、「窃取されたデータをネットに公開されたくなければ金を支払え」と脅迫します。しかし、支払いに応じたとしても、結局は盗んだデータをネット上に流出させてしまう攻撃者も存在しています。

ランサムウェア攻撃は避けられない場合もあります。しかし、それは防ぐことも可能なのです。サイバーリーズンは、ランサムウェアとの戦いにおいて無敗を維持している業界唯一のベンダーであり、MITRE ATT&CKテストにおいて過去最高のスコアを獲得しています。Cybereason Defense Platformを使うと、ランサムウェアがエンドポイント上で起動される「攻撃の最初期段階」においてランサムウェア攻撃を検知し、攻撃を自動的に終了させることができるようになります。これにより、ランサムウェアにより引き起こされるデータの損失を憂慮する必要もなければ、身代金を支払って再び攻撃されることについて心配する必要もなくなります。

【ホワイトペーパー】ランサムウェアの歴史、組織、攻撃手法とその実態を徹底攻略

緊迫する国際情勢に伴い日本においても急増しているサイバー攻撃、事業停止など甚大な影響を及ぼすランサムウェア攻撃など、企業・組織におけるサイバーセキュリティへの取り組みは、もはやIT/セキュリティ担当者だけの課題ではなく、事業の継続性を担保する上で組織全体で取り組むべき最重要の課題となりました。

今回のテーマは「ランサムウェアの歴史、組織、攻撃手法とその実態を徹底攻略」で、ランサムウェア攻撃者自体や攻撃手法だけでなく、米国を始めとする国家のサイバー政策による影響を踏まえつつ、彼らを取り巻く環境にも注目し、その実態に迫ります。

本ホワイトペーパーでは、そのテーマに沿って講演したセッションの中から厳選した3つのセッションをご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/9248/