大企業より中小企業の被害の方がはるかに多いランサムウェア

2023年9月、警察庁から「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」と題した資料が公表されました。これは2023年の上半期に発生したサイバー犯罪の傾向について、さまざまな統計データを駆使して考察したもので、日本国内における最新のサイバーセキュリティ状況を俯瞰する上で有用な資料となっています。そこで本稿ではこの中から、特に近年猛威を振るうランサムウェアに関連するトピックを幾つかピックアップしてご紹介したいと思います。

まず同資料では、都道府県警察から警察庁に報告のあったランサムウェアの被害件数の統計データが紹介されています。それによれば、被害報告全体の58%が中小企業で占められています。メディアを賑わすランサムウェア被害のニュースの大半は大企業が占めているため、この結果は多くの人にとって意外かもしれません。しかし実際には大企業よりも、中小企業の方が多く被害に遭っているのが実態です。

また業種別では製造業が最も多い33%を占め、次にサービス業の16%が続きます。その一方で、メディアで頻繁に取り上げられる医療機関の被害は全体のわずか3%に過ぎず、ここでもメディアを通じて世間に流布しているイメージと実態との乖離が見られます。

ちなみにランサムウェアの感染経路に関する報告件数を見ると、全体の71%を「VPN機器からの侵入」が占めており、これに「リモートデスクトップからの侵入」(10%)が続きます。これまでもVPNやリモートデスクトップ製品の脆弱性を悪用する攻撃が多数報告されてきましたが、同資料でもこれが裏付けられた格好となっています。

バックアップを取得してもランサムウェア被害からの復旧には役立っていない

同資料ではランサムウェア被害からの復旧に要した時間も紹介されており、「即時~1週間未満」との報告が全体の27%で、それ以外は1週間以上を要しています。また調査・復旧に要した費用の総額に関しては「100万円未満」という報告は全体の26%で、残り74%は100万円以上となっています。その内訳を見ても「1000万円以上~5000万円未満」が23%、「5000万円以上」が8%を占めており、ランサムウェア被害からの復旧にかなりの時間と費用を要している実態がうかがえます。

一方、大変興味深いのが「バックアップの取得・活用状況」に関する報告です。ランサムウェアの被害に遭った企業が「バックアップを取得していたかどうか」についての報告結果を見ると、全体の92%が「取得していた」と報告しています。これは一見するとかなり高い割合であり、多くの企業がランサムウェア対策としてのバックアップの重要性を認識するようになった表れだと解釈できそうです。

しかし一方で、「バックアップから実際に復元できたかどうか」についての報告件数を見ると、「復元できた」と報告した企業は全体のわずか19%に過ぎず、約8割の企業は「被害直前の水準まで復元できなかった」と報告しています。さらに「バックアップから復元できなかった理由」を見ると、全体の72%が「(バックアップが)暗号化された」と報告しており、「データが古い・欠損等で復元失敗」(22%)がこれに続きます。

これらの調査結果から、ランサムウェア攻撃に備えて多くの企業がバックアップを取得するようになったものの、実際にはランサムウェア被害からの復旧にさほど貢献できていないという実態が見て取れます。

バックアップ運用の見直しとともにEDRやNGAVの活用も組み合わせる

こうした状況を改善し、確実にバックアップからデータを復旧できるようにするためには、バックアップの取得だけで安心するのではなく、それを用いて実際にリストア・復旧が可能かどうか定期的に検証する必要があります。

また近年のランサムウェアは、本番システムのデータだけでなくバックアップデータの在り処も探し出して暗号化してしまいます。従って、バックアップに対するランサムウェアのアクセスをブロックするためにオフラインバックアップを取得することも重要です。

一方、ランサムウェアにたとえ感染してしまったとしても、データの暗号化に至る前にその存在を検知していち早く排除できれば実害は発生しません。そのためにはEDR(Endpoint Detection and Response)製品でPCやサーバなどのエンドポイントを常時監視し、ランサムウェアの活動を検知したら即座に対処できる体制を整えておくことが有効です。

もちろん、ランサムウェアの感染をそもそも防ぐことができれば最も安全なのは言うまでもありません。そのためには旧来のアンチウイルスソフトだけではなく、最新の検知技術を用いてランサムウェア攻撃の到来を検知・ブロックできるEPP(Endpoint Protection Platform)製品の導入が極めて有効です。

ちなみに弊社のNGAV製品「Cybereason NGAV」はランサムウェア対策に特化した複数の機能を備えており、高い精度でランサムウェアをブロックできます。また万が一これらの対策をすり抜けられてしまったとしても、弊社のEDR製品「Cybereason EDR」がやはりランサムウェア検知に特化した機能でその脅威をいち早く検知できます。どちらもランサムウェア対策に関しては豊富な実績を持っていますので、興味を持たれた方はぜひ製品ページで詳しい情報をご参照ください。

エンドポイントセキュリティ選定ガイド

次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPP、EDR、MDRを導入する際の押さえておくべき選定ポイントをまとめた上で、国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。

複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。
https://www.cybereason.co.jp/product-documents/brochure/6189/

エンドポイントセキュリティ選定ガイド