2025年迎春。思い返してみれば、2024年は日本企業におけるランサムウェアの被害が目に付く年だったように感じる。実際、1月8日にトレンドマイクロが発表した調査結果ではランサムウェア被害公表数が前年比15件増の84件と過去最大となった。KADOKAWAやカシオ計算機、イセトーといった企業がランサムウェアの被害に遭い、身代金を支払ったのではないかとの声もある。
今回、主にランサムウェアを中心としたセキュリティ業界における2024年の振り返りと、2025年の展望について、ガートナージャパン リサーチ&アドバイザり部門 シニア プリンシパル アナリストの鈴木弘之氏に話を伺った。
-
ガートナージャパン リサーチ&アドバイザり部門 シニア プリンシパル アナリストの鈴木弘之氏
日本企業はランサムウェアへの備えや対処の準備できていない
まず、鈴木氏は2024年のランサムウェアの動向について「多くの国内企業に対するランサムウェアの攻撃で判明してきたことは、事が起きてからの備えや対処に関して準備ができていないということです」と述べた。
これは、ランサムウェアの被害に遭わないための準備が企業として必要ではあるものの、そもそも攻撃された際の想像力を伴う準備が必要だという。現状では、攻撃を受けている最中の準備はできているが、攻撃を受けた後の対処方法もできていないとのことだ。
実際、身代金を支払う、支払わないに関しても攻撃を受けてみないと判断ができない状況となっている。たとえ、身代金を支払わないとルール化していても、支払わずして起こる事態による影響範囲を議論したうえで組織として支払わない方針であればまだしも、バックアップなども取らずに支払わない方針としている企業・組織が多く存在しているという。
-
ランサムウェア感染時の身代金要求への対応
こうした状況を鑑みて、鈴木氏は「攻撃を受けた後の対処について想像力を伴った対処方法が不足しています。攻撃を受けない対策だけでなく、攻撃を受けた後のダメージコントロールについて経営者も含めて議論する必要があります。日本企業では、こうした準備がほとんどできていません」と指摘。
海外ではサイバー保険で身代金の要求などに対応できているが、日本の場合はサイバー保険に加入しているユーザーも少ないことに加え、カバーできる金額・範囲も狭くなっている。そのため、想像力を伴った形で考える必要があるとのことだ。
攻撃を受けた後のダメージコントロールが重要
一方、昨年に海外のRaaS(Ransomware as a Service)界隈ではLockbitのテイクダウンやBlackCatの出口詐欺などランサムウェアグループが話題になった。
その点について、鈴木氏は「これは1つの事象の流れでしかなく、手を変え品を変え新しいものが出現しています。以前よりもグループ側の取り分は少なくなり、アフィリエイト(ランサムウェアのペイロード展開者)側の取り分が多くなってきています。大きな潮目に見えるかもしれませんが、非常に大きな波の中の小さな波でしかないと感じます。ランサムウェア自体がなくなるわけではなく、身代金の支払いが規制・厳罰化されない限りは大きな変化はありません」との見解を示す。
また、同氏は「身代金を支払うこと自体は褒められることではありませんが、一概に否定されない側面もあります。たとえば電気・ガス・水道が身代金を支払わないことで供給されなくなった場合、公的な観点で考ると支払う、支払わない、どちらが有効な手段なのかということは問われています。この答えは中々出せないと思いますが、考えていかなければなりません。まさに、これが準備であり、想定した対策を打つべきなのです」と強調する。
ランサムウェア攻撃を受けたタイミングで攻撃者の性格を把握することを知ることは不可能なため、専門家と連携できる体制の構築して、どのような性質を持った攻撃者なのかを知ることが重要だという。
鈴木氏は「大半の企業では“攻撃されない”という前提で動いていますが、攻撃を受けた後のダメージコントロールが非常に重要です。これは準備と想像力の問題であり、想像力が足りません。起きて当たり前と考えておらず、起こさない方向ばかりに舵を切っていましたが、起きて当たり前ですし、起きてしまったら対処しなければならないという現実があります」との認識だ。
昨今では、流出したデータや感染経路などに対する説明責任が多くの企業で強く求められている。しかし、EPP(Endpoint Protection Platform)だけでは詳細を知るのは容易ではなく、EDR(Endpoint Detection and Response)によるエンドポイントやネットワークからのログデータの収集に関する重要性が高まっている。
EDRは不審なものも含めてログを取得するため、時間が経過しても分析ができることから、問題が発生した際に原因を突き止めることを可能としている。
鈴木氏は「最近では、原因究明までが企業の説明責任に含まれてきています。攻撃を受けた後に曖昧な情報を外部に発信すれば、被害者としては困ると思います。そのため、ログを取得して被害範囲などを可視化することは企業の責任において必要なものです。EDRに関しては2年前から導入の動きが活発化しているほか、24時間365日に対応するために需要が拡大しています。また、MDR(Managed detection and response)やSOC(Security Operation Center)への関心も高まっています」と現状を紐解く。
-
攻撃を受ける前後が重要だが注目度は低い
セキュリティ対策は兎にも角にも「想像力と準備」
しかし、EPPに加えて、EDRやMDR、SOCを導入するとなると指数関数的にコストが増大していくことも否めない。その点について、鈴木氏は将来を見据えて投資をしなければならないという。ランサムウェア以外の攻撃に関しては、企業が生成AIを活用すると同時にディープフェイクでは音声、動画、テキストと時と場合に合わせて攻撃者が利用するなど、AIの技術を悪用した攻撃が増加しており、注意を払う必要があるとのことだ。
同氏は「企業のセキュリティ担当者の業務は増加傾向にあり、アタックサーフェスマネジメントが注目のテクノロジーになっており、2025年に取り組みのピークを迎える見通しです」と話している。
アタックサーフェスマネジメントは、攻撃される可能性がある箇所を先回りするアプローチとなり、企業がサイバーセキュリティリスクに対して継続的な監視と管理を行うための手法である「CTEM(Continuous Threat Exposure Management)」は投資価値が高いものだという。
鈴木氏は「攻撃されないための投資が重要。今年は導入が本格化していく見通しです。攻撃される可能性がある箇所を可視化するとともに、可視化した後に危険度に応じた対処のプロセスを具体的に確立していくという目的があります。海外だと一般的なものです」と説明している。
AIについては見極めが必要だと指摘する。同氏は「AIで検知の能力を向上させるのか、対処の能力を向上させるのか、生成AIを用いた難易度別のレポートを出力するのか、などがあります。ユーザー側が混乱している状況ため、ベンダーがどのようなAI技術を活用しているのかを見極める必要があります。とはいえ、AIに対する常識が変化していくことでセキュリティに対する適用領域は広がっていく見込みです」と説く。
最後に2025年におけるランサムウェアの動向について聞いたところ、企業をターゲットにした高度な攻撃は依然続くとのことだ。鈴木氏は「1回の攻撃で数億円規模の身代金支払いを求めるものは増加することが見込まれており、企業は継続して対処していかなければなりません。サイバー保険は、現状では加入数が少ないですが、加入するために自社のセキュリティ対策をチェックするタイミングを迎えているのではないでしょうか」との見立てだ。
そして、企業が考えるべきこととして「やはり想像力と準備だと思います。『攻撃されない』『攻撃されてから考える』という従来のセキュリティ対策ではなく、『攻撃されることを前提』に考えて準備し、そのためには想像力が必要になります。何が起きているのか把握できない状況は望ましくないため、何が起きているのかを後からでも把握できるようにするべきです。たとえば、インシデントが発生してからEDRを使うのではなく、インシデントには至らなかったが危ない可能性があったかもしれないという体制・考え方が重要です。つまり、攻撃の兆候を掴めるようにしていくことです」と力を込めていた。
DNPグループは“実行可能”なサイバーセキュリティ体制をどのように成長させ続けているのか
