ソフォスは6月2日、「ランサムウェアの現状2023年版(グローバルレポート)・ (日本のランサムウェアの現状2023年版) 」 を発表した。同レポートのデータは、14カ国3,000人のサイバーセキュリティとITリーダーを対象に2023年1月から3月にかけて独立系調査機関が実施した調査に基づくもの。日本の回答者数は300人。

同レポートの主な結果は次の通り。

  • 2022年にランサムウェア攻撃を受ける組織の割合は66%と前年と変わらず、日本の組織は58%が2022年にランサムウェアの被害を受けたことを報告しており、2021年の61%から若干減少した
  • データが暗号化されたインシデントの30%では、データも窃取されており、暗号化とデータ窃取によって「二重に稼ぐ」手法が広がっている
  • 高等教育機関の79%、初等中等教育機関の80%がランサムウェアの被害を受けたと回答、教育業界がランサムウェア攻撃を受ける割合が最も多かった
  • データが暗号化された調査対象組織の46%が身代金を支払っているが、企業規模が大きくなるにつれて、身代金を支払う割合も高い

セールスエンジニアリング本部 シニアセールスエンジニアの三浦洋氏は、「RaaSなどの普及により、ランサムウェアは参入障壁が低いので、攻撃が多くなっている。日本の組織のランサムウェア攻撃の被害の割合はグローバルよりは低いが、それでも6割弱であることを受け止めたほうがいい」と語った。

  • ソフォス セールスエンジニアリング本部 シニアセールスエンジニアの三浦洋氏

以下、同レポートのポイントを絞って紹介しよう。

データ暗号化の実態

「ランサムウェア攻撃でデータが暗号化されたか」を聞いた質問では、76%が「暗号化された」と答えた。前年の調査で、「暗号化された」という回答は65%であり、増えたことになる。日本の組織は72%が「暗号化された」と回答している。

暗号化された回答者のうち、30%が「データも盗まれた」と回答し、ランサムウェアとデータの窃取で二重に稼ごうとする「二重脅迫」が行われていることがわかった。

三浦氏は、「バックアップを取っていても、二重脅迫を受けたら、データ流出のリスクがある」と指摘した。

  • 業種別に見たデータの暗号化の状況 資料:ソフォス

データ復元の実態

では、ランサムウェアによる被害を受けた組織のうち、どの程度データを取り戻すことができたのだろうか。

今回の調査では、データを暗号化された組織の97%がデータを取り戻したと回答した。そのうち、70%が「バックアップを用いてデータを復元」したが、46%は身代金を支払ってデータを取り戻したという。日本の組織は、60%がバックアップからデータを復元し、52%が身代金を支払ってデータを取り戻したと回答している。

三浦氏は、データ復元の国別の状況について、次のように説明した。

「ヨーロッパアフリカはアジア太平洋に比べ、バックアップの活用が多い。また、イタリアは身代金を支払う傾向が高い。一方、日本は身代金を支払いがちで、データを取り戻す割合は平均より低め」

  • 国別に見たデータ復元の状況 資料:ソフォス

身代金の支払い額、復旧のコスト

続いて、ランサムウェアにまつわるカネの話も紹介しておこう。まず、身代金の中央値は400,000ドル、平均値は1,542,330ドルという結果が出ている。

日本の組織は、中央値が45,038 ドル、平均値が113,048 ドルとなっている。グローバルに対して、日本は平均値も中央値も低いことがわかった。

そして、復旧にかかるコストは182万ドルと、前年から40万ドルアップしている。日本の組織の平均コストは131万ドルとグローバルよりも低い。

復旧コストについて、身代金を支払ってデータを取り戻した場合とバックアップを用いてデータを復元した場合で比べると、後者は中央値が375,000ドルと前者の半額となっている。平均値も前者が260万ドルであるのに対し、後者は約100万ドル安い162万ドルだ。

これより、バックアップの有無がランサムウェア攻撃からの回復にかかるコストを左右することがわかる。加えて、復旧にかかる時間もバックアップを用いてデータを復元したほうが早い。

ランサムウェア攻撃対策の3つのポイント

三浦氏は、今回の調査からわかったこととして、下図の6つのポイントを挙げた。同氏はこのポイントについて、「繰り返し述べているが、バックアップの重要性が浮き彫りになった。バックアップを活用したほうが復元のスピードが早く、コストも低い。しかし、実際にはバックアップはあまり使われていない」と説明した。

  • 「ランサムウェアの現状2023年版」からわかったこと

さらに、三浦氏は、ランサムウェア対策のポイントとして、以下3点を挙げた。

  • 防御力を強化する
  • 攻撃への対策を事前に準備する
  • サイバーハイジーンを維持する

攻撃の対策の事前準備としては、定期的にバックアップを行い、さらに、バックアップから復元する訓練を行う必要があるという。「対策の事前準備はバックアップがカギとなる。復元の時間が長い可能性もあれば、復元できない可能性もある。とにかく、復元の訓練が重要で、月に1回程度練習をするとよい」(三浦氏)