ランサムウェア攻撃による被害を復旧するコストは約200万ドルに達し、この1年間で2倍以上に増加したことがソフォスの調査で明らかに

Sophos Press Release

~ソフォスは最新の調査結果をまとめたレポート『ランサムウェアの現状(2021年版)』を公開、身代金を支払った企業のうち、すべてのデータを取り戻せたのはわずか8%~

~サイバー攻撃が高度化しており自社のITチームだけでは対応できないと回答としている企業が54%に達する~

※本資料は2021年4月27日(現地時間)に英国オックスフォードにて発表されたプレスリリースの抄訳です。

次世代サイバーセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、世界的に実施した調査結果をまとめたレポート『ランサムウェアの現状(2021年版)』を公開しました。このレポートでは、ランサムウェア攻撃による影響を復旧するための平均総コストは2020年には761,106ドルでしたが、2021年には185万ドルとなっており、この1年間で倍増したことや、支払われた身代金の平均額は170,404ドルに達したことを明らかにしました。また、身代金を支払った後に、すべてのデータを取り戻すことができた企業はわずか8%であり、29%は半分以下のデータしか取り戻すことができなかったという結果を伝えています。

この調査は、欧州、北米・南米、アジア太平洋および中央アジア、中東、アフリカの30カ国の中堅企業のIT意思決定者5,400人を対象に実施されました。

ランサムウェア攻撃を受けた組織の割合は、2020年には回答者の51%でしたが、2021年は37%に減少しました。また、大規模な攻撃を受けてデータが暗号化された組織も減少しました(2020年の73%に対して2021年は54%)。しかし、今回の調査から、特にランサムウェア攻撃による影響において問題が深刻化している傾向が見られています。

ソフォスの主任リサーチサイエンティストのChester Wisniewskiは、次のように述べています。「ランサムウェアの被害に遭った組織の数が明確に減少しているのは良いニュースです。しかし、手放しで喜ぶことはできません。被害者の数が減少したのは、攻撃者の行動変容が反映されている結果である可能性が高いためです。攻撃者は、大規模で自動化された汎用性の高い攻撃から、手動によるハッキングなど、さらに標的を絞り込んだ攻撃に移行しています。この結果、全体的な攻撃数は減少しましたが、標的型攻撃がより高度で複雑になっており、被害はさらに深刻で甚大になっています。このような攻撃は復旧することも難しく、今回の調査では復旧の総コストが倍増した結果となっており、この状況が反映されています」

グローバル調査の結果をまとめた『ランサムウェアの現状(2021年版)』の主な結果は以下の通りです。

  • ランサムウェア攻撃から回復するための平均コストは、過去12ヶ月で倍増しました。業務のダウンタイム、受注の損失、運用コストなどの復旧コストは、2020年には平均761,106ドルでしたが、2021年には185ドルに増加しました。ランサムウェア攻撃の復旧にかかるコストは、平均で身代金の支払額の10倍になっています。
  • 支払われた身代金の平均額は170,404ドルでした。一般的な支払額は1万ドルで、最高額は320万ドルでした。100万ドル以上の身代金を支払った組織は10社ありました。
  • 身代金を支払った組織の数は、2020年の26%から2021年には32%に増加しましたが、すべてのデータを取り戻すことができた組織はわずか8%でした。

Chester Wisniewskiは次のように述べています。「今回の調査結果は、ランサムウェア攻撃を受けて身代金を支払っても無駄であるいう残酷な事実を裏付けています。身代金を支払うことを選択する組織が増えたにもかかわらず、これらの組織のうち、すべてのデータを取り戻すことができたのは本当に少数でした。この原因の1つは、復号鍵を使用してデータを復元する処理が複雑であることです。しかも、必ず成功する保証はありません。例えば、最近検出されたDearCryBlack Kingdomランサムウェア攻撃で使用されたコードの品質は低く、その技術も稚拙です。急ぎコンパイルされたコードも確認されており、完全に不可能ではないにしても、データを復旧することが困難になっています」

  • 回答した組織の半数以上(54%が、サイバー攻撃があまりにも高度化しており、自社のITチームだけでは対応できないと考えています。
  • 暗号化せずに恐喝するケースが増えています。7%と少数でありますが、データは暗号化されていないものの身代金を要求されたと回答しています。これらのケースでは、攻撃者が組織の情報を盗むことに成功していると考えられます。2020年にはこの数値は3%でした。

Chester Wisniewskiは次のように述べています。「ランサムウェア攻撃から回復するには何年もかかる可能性があります。データを復号化して復旧するだけで、終わりではありません。システム全体を見直して再構築しなければなりません。また、業務のダウンタイムや顧客への影響についても考慮する必要があります。さらに、ランサムウェア攻撃自体の性質も変化しています。少数の組織ではありますが、データを暗号化せずに支払いを要求する攻撃を受けたと回答しています。ランサムウェア対策のためのテクノロジーを導入しており、暗号化をブロックすることができたためか、攻撃者が単にデータを暗号化しないことを選択したことが考えられます。攻撃者は、窃取した情報をオンラインで漏洩しない代わりに支払いを要求しています。最近では、Clopランサムウェアを実行しているサイバー犯罪組織と、金銭的な動機の元で活動しているサイバー犯罪者が関与した事例が特定されており、約10社に対してデータを暗号化せずに恐喝のみを行っています。簡潔に言えば、攻撃者がネットワークに常駐し、さまざまな攻撃を展開する前に、侵入段階で防御することがこれまで以上に重要になっています。しかし幸いなことに、組織が攻撃を受けたとしても、その難局に自社のリリースのみで立ち向かう必要はありません。外部のセキュリティオペレーションセンター、人間主導の脅威ハンティング、インシデント対応サービスなどの形で、24時間365日いつでも支援を受けることが可能です」

ランサムウェアなどのサイバー攻撃から自社を保護するために、ソフォスが推奨する6つのベストプラクティス

  1. 攻撃を受ける前提で対策する。ランサムウェアは依然として多く発生しています。業界、国、組織の規模を問わず、このリスクから免れることはできません。サイバー攻撃についても“備えあれば憂いなし”です。
  2. バックアップを作成し、オフラインでもコピーを保管する。バックアップは、攻撃を受けた後に調査対象企業がデータを復旧するために取った重要な手段です。3-2-1という業界標準のアプローチ(3セットのバックアップ、2つの異なるメディア、1つはオフラインで保管)を実施してください。
  3. 多層防御を導入する。ランサムウェア攻撃では、データを公開すると恐喝するケースが増えています。そのため、サイバー犯罪者を自社のネットワーク環境に侵入させないことがこれまで以上に重要です。自社ネットワークの多くの場所で攻撃を防御できるよう多層防御のアプローチを採用する必要があります。
  4. 人間の専門家とランサムウェア対策テクノロジーを融合させる。ランサムウェアを阻止するには、ランサムウェア対策の専用的なテクノロジーと人間主導の脅威ハンティングを組み合わせた防御が鍵となります。ランサムウェア対策の専用的なテクノロジーにより、大規模で自動化された攻撃を防止できるようになります。一方で、人間主導の脅威ハンティングは、攻撃者による侵入の痕跡を検出する戦術、技術、手順において優れた能力を発揮します。このような高度な攻撃に対応できるスキルが自社にない場合は、サイバーセキュリティの専門企業の支援を受けることを検討してください。セキュリティオペレーションセンター(SOC)を利用することは、あらゆる規模の組織にとって現実的な選択肢になっています。
  5. 身代金は支払わない。ランサムウェア攻撃により組織の業務が停止してしまった場合、身代金を支払っても問題を解決したいと思われるかもしれません。身代金を支払うことには倫理的な問題もありますが、データを取り戻すための効果的な方法でもありません。身代金を支払っても、攻撃者が復元するのは全体のファイルの3分の2ほどであることを念頭に置いてください。
  6. マルウェア攻撃からの復旧計画を準備する。サイバー攻撃が甚大な侵害をもたらすセキュリティ侵害に発展するのを防ぐには、事前に準備することが最善の対策になります。攻撃の被害に遭った多くの企業は、インシデント対応計画を適切に導入していれば、多額のコスト被害や混乱を回避できたと振り返っています。

 

『ランサムウェアの現状(2021年版)』の全文は、Sophos.comから入手いただけます。

『ランサムウェアの現状(2021年版)』の調査は、独立系の市場調査会社であるVanson Bourneが、2021年1月から2月にかけて実施しました。この調査では、日本、米国、カナダ、ブラジル、チリ、コロンビア、メキシコ、オーストリア、フランス、ドイツ、英国、イタリア、オランダ、ベルギー、スペイン、スウェーデン、スイス、ポーランド、チェコ、トルコ、イスラエル、UAE、サウジアラビア、インド、ナイジェリア、南アフリカ、オーストラリア、シンガポール、マレーシア、フィリピンの30カ国のIT意思決定者5,400人から回答を得ています。全回答者は、従業員数が100~5,000人以下の組織に属しています。

Sophos Intercept Xは、ランサムウェアなどの攻撃で発生する操作や挙動を検知し、ユーザーを保護します。

ソフォスについて

ソフォスは、次世代型サイバーセキュリティにおいて世界をリードする企業として世界 150ヶ国以上、50万社を超える組織と数百万のコンシューマ消費者を今日の高度なサイバー脅威から保護します。ソフォスは、SophosLabs と Sophos AI からの脅威インテリジェンス機能、AI、機械学習を活用して、ユーザー、ネットワーク、エンドポイントをランサムウェア、マルウェア、エクスプロイト、フィッシング、その他さまざまなサイバー攻撃から保護するために高度な製品やサービスの幅広いポートフォリオを提供します。ソフォスは、単一の統合されたクラウドベース管理コンソールである Sophos Central を提供します。これは、適応型サイバーセキュリティエコシステムの中心的存在であり、お客様、パートナー、開発者、その他のサイバーセキュリティベンダーが利用できる豊富なオープン API のセットを活用した一元化されたデータレイクを備えています。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じてソフォス製品とサービスを販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com をご覧ください。