** 本記事は、The State of Ransomware 2023 の翻訳です。最新の情報は英語記事をご覧ください。**
ソフォスは、毎年恒例の「ランサムウェアの現状 2023 年版 グローバルレポート」 ( 地域レポート:日本)を発表しました。本レポートは、14 カ国の IT とサイバーセキュリティの専門家 3,000 名に対して実施した調査に基づいて作成されており、現在企業が直面しているランサムウェアの課題についての知見を提供します。
組織がランサムウェア攻撃を受ける割合は横ばい、一方でデータが暗号化される割合は上昇した
調査対象となった組織の 66% が過去 1 年間にランサムウェア攻撃を受けていました。これは、2022 年の調査で報告された攻撃を受けた割合と同じであり、ランサムウェア攻撃を受ける割合は同じレベルで推移しています。教育業界では、調査対象となった高等教育機関の 79%、初等中等教育機関の 80% がランサムウェアの被害を受けたと回答し、ランサムウェア攻撃を受ける割合が最も多い業界になりました。
ランサムウェアによってデータが暗号化される割合は過去 4 年間で最も高い水準になりました。ランサムウェア攻撃の 76% がデータの暗号化に成功しています。さらに、データが暗号化されたインシデントの 30% では、データも窃取されており、暗号化とデータ窃取によって「二重に稼ぐ」手法が広がっています。
攻撃の根本原因として最も多く報告されたのは、脆弱性の悪用 (36%) であり、次いで認証情報の侵害 (29%) となっています。これは、ソフォスの 2023 年の「ビジネスリーダーのためのアクティブアドバーサリ」レポートで公開された、ソフォスチームが実際のインシデント対応から得た最近の知見とも一致しています。
身代金を支払う場合、復旧費用が 2 倍に
データが暗号化された調査対象組織の 46% が身代金を支払って、データを取り戻しています。大企業ほど身代金を支払うケースが多く、売上高 5 億ドル以上の企業の半数以上が身代金を支払ったことを認めています。
今回の調査では、身代金を支払ってデータを復号化した場合、身代金以外の方法で復旧した場合の費用と比較して 2 倍になっていることがわかりました (身代金を支払って復旧した場合の費用 75 万ドルに対し、バックアップを利用してデータを復旧した場合の費用は 37 万 5000 ドル)。
さらに、通常、身代金を支払うと復旧にかかる期間も長くなっており、バックアップを使用した組織の 45% が 1 週間以内に復旧しているのに対し、身代金を支払った組織では 39% に留まっています。
「身代金を支払うと、インシデント対応の費用は大幅に増加します。被害を受けた多くの組織は、暗号鍵を購入するだけではすべてのファイルを復元することはできていません。バックアップも利用して復元しなければなりません。身代金を支払うことは、サイバー犯罪者を潤すだけでなく、インシデント対応を遅らせ、経済的に深刻な被害に拍車をかけることになります。」
ソフォス、フィールド CTO、Chester Wisniewski
ランサムウェアのリスクの軽減
Institute for Security and Technology でランサムウェアタスクフォースのエグゼクティブディレクターと最高戦略責任者を努めている Megan Stifel 氏は、次のように述べています。
「ソフォスが公開した最新のレポートは、ランサムウェア攻撃の範囲と規模の両方が、依然として大きな脅威であることを明確に示しています。特に、売上高が多い企業で、かつ、ランサムウェアを防止、対応、復旧するためのリソースを自社で確立していない組織は、ランサムウェア攻撃の標的となり、大きな影響を受ける傾向が顕著です。
セキュリティを強化する方法の1つは、CIS (Center for Internet Security) が発行している CIS IG1 Controls に基づく 48 つのセーフガードのフレームワークの 1 であり、ランサムウェアタスクフォースが提唱している「Blueprint for Ransomware Defense (ランサムウェアに対する防御計画) を実施することです。この内容は、ソフォスが本レポートで公開した調査結果とも一致しています。官民が団結してランサムウェアと戦う時代は過去のものとなっています。ソフォスのようなサイバーセキュリティを専門とするプロバイダーと協力しなければ高い成果を得ることは難しくなっています。」
さらに、ソフォスは、ランサムウェアや他のサイバー攻撃から組織を保護するために、以下のベストプラクティスを推奨しています。
- 以下の対策を実行し、守りの盾を強化します。
- 脆弱性の悪用を防ぐ強力なエクスプロイト対策機能を備えたエンドポイントプロテクション、侵害された認証情報の悪用を阻止する ZTNA (Zero Trust Network Access) など、最も一般的な攻撃方法に対応して組織を防御するセキュリティツールを導入します。
- 攻撃に自動的に対応し、攻撃者を妨害し、防御側が対応する時間を稼ぐことを可能にする適応型テクノロジーを導入します。
- 24 時間年中無休で脅威を検出、調査、対応します。社内で実施することも、専門の MDR (Managed Detection and Response) プロバイダーに依頼して実施することも可能です。
- 定期的なバックアップの作成バックアップからデータを復元する訓練、最新のインシデント対応計画の維持など、攻撃への備えを最適化します。
- タイムリーなパッチ適用やセキュリティツールの構成の定期的なレビューなど、適切なセキュリティ予防策を維持します。
調査方法について
「ランサムウェアの現状 2023 年版」レポートのデータは、3,000 人のサイバーセキュリティと IT リーダーを対象に 2023 年 1 月から 3 月にかけて独立した調査機関が実施した調査に基づいています。回答した組織は、北アメリカ/南アメリカ、EMEA アジア太平洋地域の 14 か国を拠点としています。従業員数が 100 ~ 5,000 人、売上高は 1,000 万ドル未満から 50 億ドル以上の範囲の組織を対象に調査が行われました。
世界全体の調査結果や業界別のデータについては、「ランサムウェアの現状 2023 年版 グローバルレポート」 ( 地域レポート:日本)をご覧ください。