本稿をご覧いただいている皆様は、いわゆるサイバー犯罪や、サイバー攻撃などのサイバー空間をめぐる脅威に関して、警察庁より年2回(上半期・通年)のペースで統計レポートが提供されていることをご存知でしょうか?
『サイバー空間をめぐる脅威の情勢等|警察庁Webサイト』
https://www.npa.go.jp/publications/statistics/cybersecurity/index.html
2021年9月9日、警察庁から、同内容の上半期のレポートが公開されました。統計情報としてはサンプルデータ数が少ないなど、量的には発生しているインシデントの実態件数との乖離があるとは思われるものの、警察に通報が行われたサイバー犯罪をベースに作成されていることを鑑みれば、その内容について、注目すべき点がいくつか見られる有用なデータです。
今回は、このレポートから、特にランサムウェアによる脅威とその対策を検討する上で、注目すべき点についてピックアップし、その内容と、他のデータソースも含めての筆者の分析と考察について、紹介していきます。
ランサムウェア被害は2021年上半期で約3倍に
令和3年上半期に都道府県警察から警察庁に報告のあった件数は61件で、令和2年下期の21件から約3倍程度の大幅増となりました。
| 年次(西暦) | 2020年下半期 | 2021年上半期 |
| 年次 | 令和2年下半期 | 令和3年上半期 |
| 件数 | 21件 | 61件 |
(企業・団体等におけるランサムウェア被害の報告件数の推移)
これはランサムウェアによる被害が拡大しているとも取れるのですが、単にランサムウェアに対する一般の認知が向上し、警察への通報件数が増加したとも考えられます。
特に2021年上半期では、大手企業の海外子会社や、自治体向けにコンサルティングサービスを提供している会社がランサムウェア被害に遭うなどの事案が複数件発生しており、いくつかのメディアにて報じられたという経緯もあります。また、IPA情報セキュリティ10大脅威の組織編においても、ランサムウェアによる被害は第一に選出されており、依然として注目度の高い状況が続いていることも、報告件数が増加した一因かもしれません。
ランサムウェア被害に遭いやすい企業の規模は?
続いて、ランサムウェア被害を受けた企業・団体等の規模についても、そのデータが取得されていますが、大企業は17件、中小企業は40件となりました。
| 企業・団体等 | 件数 | 割合 |
| 大企業 | 17 | 28% |
| 中小企業 | 40 | 66% |
| その他 | 4 | 7% |
| 合計 | 61 |
(ランサムウェア被害の被害企業・団体等の規模別報告件数)
データの結果からは、企業規模を問わず攻撃を行っている、中小企業もターゲットになっている、と読み取れます。しかし、サイバー犯罪者からすれば、かかる労力に対して、得られるリターンが大きいほうが望ましいと考えているのではないでしょうか?
ともすれば、大手企業との取引がある中小企業が踏み台として狙われる、といった、いわゆるサプライチェーンリスクのケースに代表されるように、中小企業「も」ターゲットになっているのではなく、ターゲットを狙い定めない「ばらまき型」のようなランサムウェア攻撃の結果、中小企業が被害に遭っている、とも考えられます。
ダークウェブ上のランサムリークサイトなどでは、ランサムウェア攻撃を行うグループが、データを窃取した対象の企業の企業概要などを掲載しているケースもみられることから、サイバー犯罪者は、ランサムウェアに感染させたうえで、被害組織に要求する身代金額については、企業規模に応じた金額に設定している可能性が高いのではないか、というのが筆者の見解です。
ランサムウェア被害による対応費は大半が1,000万円程度
ランサムウェア被害に遭った場合、原因調査や復旧、再発防止に向けての対策には多額の費用がかかる、というのはサービス提供側としては認識している点ですが、その実態、具体額が公開されるケースは殆どありませんでした。しかし今回、警察庁のレポートでは、この点が明示されているのです。
| 総額 | 件数 | 割合 |
| 100万円未満 | 8 | 28% |
| 100万円以上500万円未満 | 13 | 33% |
| 500万円以上1,000万円未満 | 3 | 8% |
| 1,000万円以上5,000万円未満 | 14 | 36% |
| 5,000万円以上1億円未満 | 1 | 3% |
| 合計 | 39 |
(調査・復旧費用の総額)
今回、警察庁に報告のあった61の被害企業・団体のうち、調査・復旧費用の総額に関してアンケートに回答した件数が39件で、そのうち15件(39%)が1,000万円以上の費用が発生したことを明示するものです。
インシデント1回あたりで1,000万円超の費用に加え、インシデント発生による事業停止などの遺失利益、ブランド価値毀損につながる風評被害が発生するのであれば、ランサムウェア対策としてのエンドポイントセキュリティの強化や、セキュリティ監視、CSIRT体制の構築などにコストを割いたほうが費用対効果は高いことは明白ですが、このあたりの認知や意識については、まだ日本国内の経営層では低いように感じています。
なお、経営層のセキュリティアウェアネスが日本に比べれば高い欧米はどうかというと、問題がないわけではなく、ランサムウェア被害の発生時には、サイバー保険を用いて身代金を支払う→サイバー保険を提供する損保会社側の損害率が高まり、保証契約が停止される、また、保険料が上がる、その他、ランサムウェアグループが受け取った身代金によって経済的に潤い、新たなランサムウェア攻撃がさらに発生する、といった、また別の問題もあるようです。
『保険大手アクサが仏でランサムウェア身代金支払いの補償契約を停止との報道–専門家はどう見る – ZDNet Japan』
https://japan.zdnet.com/article/35170597/
『ランサムウェアの身代金支払いで反社への資金供与システムと化すサイバー保険産業 | ScanNetSecurity』
https://scan.netsecurity.ne.jp/article/2021/05/11/45642.html
まとめ
企業や組織の情報漏えい事件やランサムウェア被害がニュースで取り上げられることが増えています。
情報漏えいや不正アクセスが発生すると高額な損害賠償を請求されたり、取引先や顧客の信用失墜や企業の存続に関わる事態につながるおそれもあります。
このようなセキュリティインシデントは規模に関係なく、どのような企業、組織でも起こりうる可能性があることを認識し、発生時の対応策を事前に準備しておくことが必要です。
PNCではインシデント発生時のセキュリティ対策として
- インシデント・レスポンス:マルウェア感染、情報漏えい発生時のかけつけ対応
- デジタル・フォレンジック:訴訟等に備え、証拠保全、原因の調査・分析
- CSIRT構築:セキュリティインシデント発生時に調査・対応する組織の構築
についてもご支援できますので、まずはご相談ください。
⇒お問い合わせ|PNC株式会社
https://www.pnc.jp/inquiry.html
