製品とサービス 製品とサービス

小売業界におけるランサムウェアの現状 2021 年版

ソフォスが発表したレポート「小売業界におけるランサムウェアの現状 2021 年版」によると、パンデミックの際、小売業界がランサムウェアやデータ窃取による攻撃の最大の標的となったことが明らかになりました。

** 本記事は、The State of Ransomware in Retail 2021 の翻訳です。最新の情報は英語記事をご覧ください。**

ソフォスが発表したレポート「小売業界におけるランサムウェアの現状 2021 年版」によると、パンデミックの際、小売業界がランサムウェアやデータ窃取による攻撃の最大の標的となったことが明らかになりました。このレポートは、435 人の IT 意思決定者を対象とした独自の調査に基づいており、2020 年に世界中の中規模程度の小売業が受けたランサムウェア攻撃の範囲と影響を調査しています。

ランサムウェア被害を最も受けた小売業界

調査結果によると、2020 年にランサムウェアの被害を最も受けた業界は、教育機関と並んで小売業であり、被害を受けた組織の割合は 44% でした (全業界では37%) 。ランサムウェアの被害に遭った小売業の半数以上 (54%) が、攻撃者により組織のデータが暗号化されたと回答しています。

サイバー犯罪者は、パンデミックがもたらした機会を素早く利用しました。小売業界では、主にオンライン取引の急増です。IT チームがこの変化の実現と管理に追われる中 (回答者の約 4 分の 3 (72%) が、2020 年を通してサイバーセキュリティの作業量が増加したと回答)、攻撃者はランサムウェア攻撃で小売業を標的にしました。

恐喝型攻撃の標的に

今回の調査では、小売業界が小規模ながらも増加傾向にある新しいトレンド、すなわち、ランサムウェアの攻撃者がファイルを暗号化せず、身代金の要求に応じなければ盗んだ情報をネット上に流出させると脅す「恐喝型の攻撃」に対して特に脆弱であることもわかりました。小売業界のランサムウェア被害者の 10 人に 1 人以上 (12%) がこの攻撃を経験しており、これは業界全体の平均値の約 2 倍で、より多くの被害を受けたのは、中央政府および政府外公共機関 (13%) のみでした。

ソフォスの主任リサーチサイエンティストである Chester Wisniewski は、次のように述べています。「データ窃取に基づく恐喝型の攻撃を受けた小売業の割合が比較的高いことは、まったく驚きではありません。小売業のようなサービス業では、厳格なデータ保護法の対象となる情報を保有しており、攻撃者は、データ侵害による罰金やブランドの評判、売上、顧客の信頼へのダメージを恐れる被害者の気持ちを利用しようとしています。」

小売業の 3 分の 1 が身代金を支払う

データが暗号化された小売業の 32% が、データを取り戻すために身代金を支払いました。身代金の平均支払額は 14 万 7,811 米ドルで、世界平均の 17 万404 米ドルよりも低くなっています。

大きな金額ではありますが、身代金の支払いはランサムウェア攻撃に対処するための全体的なコストのほんの一部に過ぎません。小売業界におけるランサムウェア攻撃の復旧費用 (ダウンタイム、復旧のための人件費、デバイスのコスト、ネットワークのコスト、逸失利益、支払った身代金などを考慮した場合) は、平均で 197 万米ドルとなり、業界全体の平均である 185 万米ドルを上回りました。

身代金の支払いも報われず

多くの人は当然のことながら、身代金を支払えばすべてのデータが戻ってくると思っています。しかし、今回の調査ではそうではないことが明らかになりました。小売業界では、身代金を支払った人は平均して 3 分の 2 (67%) のデータしか取り戻せず、3 分の 1 はアクセスできないままでした。また、暗号化されたデータをすべて取り戻せた人はわずか 9% でした。この事実は、攻撃を受けたときに復元できるようなバックアップをとっておくことが、極めて重要であることを示しています。

朗報

幸いなことに、悪いニュースばかりではありません。2020 年の間に、 IT チームがサイバーセキュリティのスキルや知識を向上させることができた、と回答したのは小売業界が最も多い結果となりました。パンデミックへの対応やオンライン取引の増加に伴いかなりの作業量が発生した一方で、翌年以降に活かすことができる新たな学習機会を得ることができたのです。

レポートの全文を読む

ランサムウェアが世界中の小売業界に与える影響については、「小売業界におけるランサムウェアの現状 2021 年版」の全文をご覧ください。

コメントを残す

Your email address will not be published.