IPA（情報処理推進機構）が毎年公開している情報セキュリティ10大脅威の2021年版でも「ランサムウェアによる被害」が組織編の第1位になったことは記憶に新しいですが、あれから1年、ランサムウェアの被害に関するニュースは枚挙に暇がなく、その脅威は依然として高まり続けています。

最近では、地方病院がランサムウェアの被害にあい、数ヶ月に及び医療業務に支障が出たという事例がありました。また、国内大手企業の海外現地法人や、自治体向けにコンサルティングサービスを提供している会社がランサムウェア被害に遭うなど、業種を問わず広く被害が発生しています。

今回は、そんなランサムウェアの脅威とその対策について、改めてその脅威と対策について幾つかのデータソースも含めての弊社の分析と考察をご紹介していきます。

ランサムウェア被害は半期で約3倍に…？

　警察庁が公開する「令和３年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、令和3年上半期に都道府県警察から警察庁に報告のあったランサムウェアの被害件数は61件あり、令和2年下期の21件から約3倍程度の大幅増となりました。

企業・団体等におけるランサムウェア被害の報告件数の推移
（警察庁「令和３年上半期におけるサイバー空間をめぐる脅威の情勢等について」より引用）

上記データはあくまで都道府県警察から警察庁に報告があった件数であるため、ランサムウェアに対する一般の認知が向上し、被害に遭った組織から各都道府県警察への通報件数が増加したという可能性もありますが、短期間でこれほど被害の報告数が増加していることはランサムウェアの脅威度の高さを示しています。

ランサムウェア被害に遭いやすい企業の規模は？

さて、そんなランサムウェアですが、攻撃者はどういった規模の企業をターゲットにしているのでしょうか？先程と同様「令和３年上半期におけるサイバー空間をめぐる脅威の情勢等について」（警察庁）のデータを参考に見てみましょう。

ランサムウェア被害の被害企業・団体等の規模別報告件数
（警察庁「令和３年上半期におけるサイバー空間をめぐる脅威の情勢等について」）

上のグラフは企業・団体等の規模別にランサムウェアの被害件数を纏めたものです。令和3年上半期における報告件数は大企業が17件、中小企業が40件となっています。

従来、金銭目当てのサイバー犯罪者はかかる労力に対して、得られるリターンが大きいターゲットを狙う（＝大企業がターゲットになりやすい）ものと考えられてきました。しかし、データの結果からは企業規模を問わず攻撃が行われており、中小企業もターゲットになっていることが読み取れます。

特段ターゲットを定めない「ばらまき型」攻撃が行われた可能性や、大手企業との取引がある中小企業が踏み台として狙われた可能性（いわゆるサプライチェーン攻撃）などが考えられます。

特に後者の場合、大企業と比べてセキュリティ対策が不十分な場合が多い中小企業は、サイバー犯罪者にとって格好のターゲットとなっているのかもしれません。

　その一方、ダークウェブ上のランサムリークサイトでは、ランサムウェア攻撃を行うグループが、データを窃取した企業の概要などを掲載しているケースもみられます。

その情報を基に、サイバー犯罪者はランサムウェアの被害組織に要求する身代金額を企業規模に応じた金額に設定している可能性があり、実態としてもそのような事例も見受けられます。

サイバー犯罪を「ビジネス」として見れば、やはり支払いやすい「相場」というものがあるのでしょう。サイバー犯罪者は企業規模を問わずランサムウェアのターゲットとしますが、被害金額は組織の規模に応じて変化することもあり、決して一律ではない、ということのようです。

ランサムウェア被害による対応費は大半が1,000万円程度？

続いて、ランサムウェア感染時の対応費についてのデータをご紹介します。

ランサムウェア被害に遭った場合、原因調査や復旧、再発防止に向けての対策に多額の費用がかかる、というのは従来から言われてきたことでしたが、一方でその実態や具体額が公開されることはこれまで殆どありませんでした。しかし、今回の警察庁レポートでは、復旧に要した期間とともに、調査・復旧費用の総額が明示されていましたのでご紹介します。

復旧に要した期間、調査・復旧費用の総額
（警察庁「令和３年上半期におけるサイバー空間をめぐる脅威の情勢等について」）
　

警察庁に報告のあった61の被害企業・団体のうち、調査・復旧費用の総額に関してアンケートに回答があった39件中、15件（39%）で1,000万円以上の費用が発生したとされています。

但し、このデータは企業規模毎の調査・復旧費用を含みません。インシデント発生時にかかる費用は復旧費用以外にも、
・インシデント発生による事業停止などの遺失利益
・ブランド価値毀損につながる風評被害や社会的信用の失墜
があります。

これらを加味した総額で考えるのであれば、ランサムウェア対策としてのエンドポイントセキュリティの強化や、セキュリティ監視、CSIRT体制の構築、定常的な攻撃メールへの訓練実施などにコストを割いたほうが、相対的な費用対効果は、高くなる可能性もあるでしょう。

企業における対策強化の難しさ

ランサムウェアによる被害を防ぐためには、経営の主導による全社的・組織横断的なサイバーセキュリティ対策の強化が求められます。

しかし、「自社事業をとりまくサイバー脅威を特定」し、「リスクと事業影響を評価」したうえで、「経営層の意思決定に資する材料を作る」ことは、簡単では有りません。

経営(事業)・サイバーセキュリティ・リスクマネジメントなど、各領域に関して、一定の知見を得た上で、経営側の意思決定に資する材料がなければ、適切な判断が難しいのが実情です。

経済産業省のサイバーセキュリティ経営ガイドラインや、経団連の提言において「サイバーセキュリティは経営課題」との言があり、以前と比較し注目度が上がってきたのは確かだと思われます。

しかし、それは経営者が正しく認識してさえいれば何ら問題がない、というわけではありません。単純に経営者自身のセキュリティアウェアネスの問題というわけではなく、経営者自身のアウェアネスを高めながら、組織として適切な意思決定を行うことがセキュリティインシデント発生への備えとして重要になります。

参考として、2022年1月13日、JPCERTコーディネーションセンターが公開した「ネットワーク内部にランサムウェアが侵入し、攻撃を受けた組織」の初動対応を支援する資料をご紹介します。

こちらの資料では、ランサムウェアによる被害発生時の相談先や対応の仕方、身代金の対応など、組織が攻撃を受けた際の対策ポイントについてFAQ形式で解説されています。

侵入型ランサムウェア攻撃を受けたら読むFAQ　
URL：https://www.jpcert.or.jp/magazine/security/ransom-faq.html

余談：サイバー保険の功罪

ランサムウェア攻撃に対するコスト面での解決について、積極的にセキュリティ対策投資を行っている印象のある米国・欧州企業においても、問題がないわけではありません。

米国・欧州企業では、ランサムウェア被害の発生時に、サイバー保険を用いて犯罪者グループから要求された身代金を支払うケースがあります。サイバー保険は、万が一ランサムウェアに感染した場合のリスクを回避するサービスとして人気を博していました。

しかし、ランサムウェアの被害金額をサイバー保険で支払う事態が急増した結果、サイバー保険を提供する損保会社側の損害率が高まり、サイバー保険の新規受入や保証契約が停止される、（または保険料が上がる）という事態が発生してしまいました。

参考：保険大手アクサが仏でランサムウェア身代金支払いの補償契約を停止との報道--専門家はどう見る - ZDNet Japan
URL： https://japan.zdnet.com/article/35170597/

またサイバー犯罪者がサイバー保険の補償によって受け取った身代金によって経済的に潤い、その金銭が新たなランサムウェア攻撃に用いられることで被害がさらに拡大する、といった悪循環も起きており、サイバー保険が反社会的勢力に対する資金供与システムと化している点についても、一部から指摘が行われています。

参考：ランサムウェアの身代金支払いで反社への資金供与システムと化すサイバー保険産業 | ScanNetSecurity
URL： https://scan.netsecurity.ne.jp/article/2021/05/11/45642.html

　ランサムウェアの被害は恐ろしいですが、「払えばよい」という考えで対応してしまうと、結果的に更に被害が拡大してしまうリスクがあることも重々認識しておきましょう。

まとめ：セキュリティ対策の費用対効果を経営に示すには？

今回は以下の3点を取り上げ本稿の題材としました。

• ランサムウェア被害は増加している
• 企業規模を問わず、被害が発生している
• ランサムウェア被害の対応コストは1,000万円を超える

また、こうした中でランサムウェアも含むサイバーセキュリティの強化に取り組んでいくことの難しさも簡単ではありますがご紹介しました。

各組織の規模や業務内容、想定されるリスクなどによって取るべき対策も変わってきます。投資をするにも、まずは自分たちの強み・弱みを把握した上でどこを強化すべきかを考える必要があるでしょう。

ランサムウェアの流入経路で最も多いとされているのは、「標的型攻撃メール」「ばらまき型メール」などのメールを利用した攻撃です。

弊社の標的型攻撃メール訓練ソリューション「Targeted Mail Training」及び「CoTra Enterprise」はこうした攻撃の被害を防ぐため従業員様の教育支援としてご利用いただけます。まずは２ヶ月間無料でお使いいただけるFreeプランもございますので、是非ご検討ください。

それでは、ご覧頂きありがとうございました。