増加するランサムウェア被害、日本企業は身代金を支払わない姿勢が顕著に
今、サイバー攻撃に関する話題の中で最も頻繁に耳にする単語が「ランサムウェア」でしょう。「2023 State of the Phish」はランサムウェアの動向についてもまとめています。
これによると、調査対象となった15カ国全体の傾向として、64%の企業がランサムウェアに感染した経験があるという結果になりました。日本に限っても、昨年の調査よりも18ポイント増えて64%に達しています。
次に、ランサムウェアに感染してしまった企業が身代金を支払ったのかどうかも尋ねました。7カ国調査の平均では、66%の感染企業が身代金を支払ったと回答しました。これに対し、日本ではわずか18%しか身代金を支払っていないとの結果が出ています。これは、調査各国の中でもダントツに低い数字で、脅しに屈しない姿勢が明確なのは喜ばしいことです。
おそらく、身代金を支払ったところで必ずしもデータが戻る保証はない上に、サイバー犯罪集団という反社会的組織に金銭を支払うこと自体がよくないことだ、という意識が醸成されていることが要因でしょう。また、きちんとデータのバックアップを取っている企業が多いことも、要求に屈しない要因の一つだと考えられます。
事実、グローバルの調査結果を見ると、身代金を支払ってしまった企業のうち、一度目の支払いでデータを復旧できたケースは52%にとどまりました。追加の支払いを要求されたり、それを支払ってもなおデータを復旧できなかったりしたケースが約半数を占める状態です。
こうした状況が知られるにつれ、仮にランサムウェアに感染したとしても身代金を支払わなくなる企業は増える傾向に向かうでしょう。となると攻撃者は、より規模の小さい企業やバックアップのシステムが整っていない企業を狙ってくると予測されます。今後はそうした領域でも警戒が必要になるでしょう。
引き続き注意が必要な内部脅威、教育や訓練を通したレジリエンスの向上が急務
外部からのサイバー攻撃と並んで情報漏洩のもう一つ大きな原因となっているのが、内部関係者による持ち出し、いわゆる内部脅威です。
新型コロナウイルスの世界的な流行を機に、日本も含め世界的に転職市場が活発化しました。「2023 State of the Phish」によると、退職時に何らかの情報を持ち出したと認めた回答者は、グローバルで25%、日本でも13%に上っています。
これがIT担当者やセキュリティ担当者側の視点になると、「内部関係者によって情報が持ち出されたり、破壊されたりした」とする回答は64%に上っており、内部の攻撃にも注意が必要であることがよくわかります。
このように、企業を取り巻く状況は、外部の攻撃、内部の脅威、ともに引き続き厳しい情勢にあります。そこでポイントとなるのは、プルーフポイントが繰り返し主張してきた通り、やはり「人」です。
ですが調査からは、従業員のセキュリティ意識の醸成やリテラシー向上は、まだまだ十分とはいえない実情も明らかになっています。
例えば、調査回答者の3分の1以上が「マルウェア」「フィッシング」「ランサムウェア」の定義を正しく認識できていません。また、従業員全体を対象にしたセキュリティトレーニングを行っている組織はまだ56%、標的型攻撃メール訓練(フィッシングシミュレーション)を実施しているのは35%にとどまっています。
加えて、コロナの影響で在宅勤務が増え、個人のデバイスと仕事のデバイスの線引きが曖昧になっていきている中、社会人の3分の1以上が、フィッシングのリンクをクリックしたり、そのリンク経由でマルウェアをダウンロードしてしまったりするといった、危険かつリスクのあるアクションを取っていることも明らかになっています。人はセキュリティ強化を握る鍵でもあり、最後まで残る脆弱性でもあるのです。
こうした状況を改善するには、やはり地道で継続的な教育や訓練を行うしかありません。
大多数の企業では何らかのセキュリティ教育を実施しているでしょうが、機械的に済ませるだけではあまり効果は期待できません。例えば、現実のフィッシングメール・攻撃メールで使われている「リンク」を使った手口を用いたり、ユーザーの関心を引く話題を盛り込んだテンプレートを用いたりするなど、現実に即した訓練を行って注意を喚起することがポイントとなります。
さらに、実際にそういった不審なメールを受け取り、うっかり開いてしまったとき、誰にどのように報告するかを確認し、企業・組織としてのレジリエンスを高めていくことが求められています。残念ながら、一般の従業員と情報セキュリティ担当者の間には、セキュリティの優先度に関してギャップがまだ存在しますが、ぜひ飴と鞭をうまく使い分けながら、しっかりとセキュリティ意識を醸成していただければと思います。