サイバーリーズンが先日発表したレポート「ランサムウェア：ビジネスにもたらす真のコスト」では、悪意のある攻撃者による臨機応変なランサムウェア・キャンペーン戦術、ランサムウェア攻撃が成功する頻度と重大度が被害組織とその業務遂行能力に与える多大な影響について詳しく説明しています。ランサムウェアがもたらす被害は、業種や組織の規模を問わず共通していることが明らかになりました。

報道されているのは巨額の身代金要求に応じることができる比較的大規模で財政力がある組織に対するランサムウェア攻撃ばかりですが、調査の結果小規模な組織も標的としたことが明らかになっています。そもそもランサムウェア攻撃はなぜ中堅企業/組織も狙っているのでしょうか。

ランサムウェア攻撃に誤った自信を持っているケース

中堅企業/組織がランサムウェア攻撃の標的にされている要因の1つは、組織自体が誤った自信を持っていることです。National Cyber Security Allianceは、少なくとも一部の中堅企業/組織が単に自分たちは規模が小さすぎて攻撃者も興味を持たないと考えていると指摘しています。

たとえば、CSOを対象とした2019年の調査によると、中堅企業/組織の意思決定者の18%が、デジタルセキュリティの優先順位は最も低いと回答しています。中堅企業/組織の67%がランサムウェア攻撃を受けているにもかかわらず、回答者の3分の2はその根拠としてランサムウェア攻撃の可能性が低いことを挙げています。

このような過信によって中堅企業/組織の不十分なセキュリティ体制を生み出し、ランサムウェア攻撃者にとって魅力的な標的になってしまっています。サイバーリーズンの調査によると、ランサムウェア攻撃がもたらすリスクに対処するための具体的な計画や適切なスキルを持つ人材がいないと回答した中堅企業/組織はかなりの数に上ります。

中堅企業/組織のランサムウェア実態調査

また、多くの中堅企業/組織がランサムウェア攻撃をそれほど心配していないのは、自組織の情報資産の価値が大企業ほど高くないと感じています。しかしながら、それは事実ではありません。もしそうであれば、攻撃者が中堅企業/組織を標的にする金銭上の動機は見当たりません。

警視庁が発表した「令和３年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアの被害はハントして約3倍に増加しており国内企業・団体等におけるランサムウェア被害の66%が中小企業であることが判明しています。

この調査結果からも明らかですが、中堅企業/組織もしかるべきランサムウェア対策を講じる必要があります。中には、ランサムウェア攻撃対策に投資する代わりに、要求された身代金を支払えば簡単にシステムやデータへのアクセスを取り戻せるだろうと考えたり、攻撃を受けた後の損失の全額をサイバー保険でカバーできるだろうと考えている組織も存在します。しかし、それは残念ながら認識不足と言えます。

警視庁の上述の同様の資料によると、ランサムウェアの被害にあってしまった組織の調査・復旧費用の4割は1,000万円以上であることが判明しました。また復旧に2ヶ月以上要した組織が半数以上にも上ることが分かっています。

例えば、平均1,600万円を要求される身代金、および被害の調査、事業を復旧にかかる費用と、セキュリティ対策の費用を比較した場合、当然ながら身代金と調査・復旧費用の方が膨大なコストがかかります。しかしながら、サイバーリーズンの調査に協力した中堅企業/組織の約半数は、エンドポイント保護またはウイルス対策ソリューションを財政的に購入できるにも関わらず、導入していないと回答しています。

さらに、ランサムウェア攻撃の被害を受けた組織のうち、暗号化されたデータを復旧するための復号化ツールと引き換えに身代金を支払うことを選択した組織の約半数は、完全に復旧できず、データの一部または全てが破損したと回答しています。

また、ランサムウェア攻撃を受けたことのある回答者のうち、サイバー保険に加入していた組織の約半数は、保険契約でカバーできたのはコストの一部だけか、まったくカバーできなかったと回答しています。一般的に、ランサムウェア攻撃が成功してしまうと、収益の損失、ブランドの棄損、想定外のリソース不足、一定期間または恒久的な事業停止といった関連コストが発生します。

国内では、入札によって受注した業務に関連するデータがランサムウェアによって流出、暗号化されしてしまい、取引先の事業に影響が出てしまったケースや、入札の資格を停止されてしまうケースが発生しています。また、ランサムウェア攻撃によって、顧客情報が漏えいに伴う関連費用が1億円近く発生し、さらに事業停止による広告などの販売促進の削減により利益損害を被ってしまった事例があります。

サイバーリーズンの調査結果によって、ランサムウェア攻撃者への身代金の支払いが、必ずしも有効ではないことが明らかになりました。そして、これからサイバーセキュリティ対策は、重要なシステムや情報資産が危険にさらされる前の早い段階でランサムウェア攻撃を終わらせるための早期発見・防御戦略に注力することがいかに重要であるかを示しています。

サイバーリーズンのCEO兼共同創設者のLior Divは、レポートの調査結果について次のように述べています。「直接的な結果として収益の損失や貴重な人材の損失など、ビジネスの大規模な混乱を引き起こすことがあるランサムウェア攻撃は、世界中の組織にとって大きな懸念事項です。」

「身代金を支払っても、完全な復旧が保証されるわけではなく、攻撃者が被害組織を再び攻撃するのを防ぐこともできず、結局、さらなる攻撃を助長することで問題を悪化させるだけです。早期発見のための「予防第一」戦略を採用して脅威に立ち向かえば、事業が損害を被る前に破壊的なランサムウェアを阻止することができます。」

【グローバル調査結果】ランサムウェア 〜ビジネスにもたらす真のコスト〜

サイバーリーズンは、ランサムウェアがビジネスに及ぼす影響に関するグローバル調査を2021年4月に実施しました。
本レポートでは、主な業種におけるランサムウェア攻撃のビジネスへの影響を把握した上で、ランサムウェア対策アプローチを改善するために活用できるデータを紹介しています。
https:https://www.cybereason.co.jp/product-documents/survey-report/6368/