ニュース

ソフォスが「ランサムウェアの現状2023年版」発表、攻撃を受けた組織は66%と前年から横ばいに

  • 唐沢 正和

2023年6月5日 06:00

 ソフォス株式会社(以下、ソフォス)は2日、2023年1月から3月にかけて実施された、米国、EMEA、アジア太平洋地区の企業に勤務する、計3000人のサイバーセキュリティ/ITリーダーを対象としたランサムウェアの実体験に関する年次調査、およびその分析をまとめた調査レポート「ランサムウェアの現状2023年版(グローバルレポート)・(日本のランサムウェアの現状2023年版)」を発表した。同日には、この調査レポートの詳細内容について説明会が行われた。

 説明会ではまず、ソフォス セールスエンジニアリング本部 シニアセールスエンジニアの三浦洋氏が調査レポートの概要を紹介。「この調査レポートは、世界各国でIT/サイバーセキュリティを担当しているリーダー3000人を対象に、今年1月から3月にかけて独立系調査機関が実施した調査結果をまとめたもの。回答した組織は、北アメリカ/南アメリカ、EMEAアジア太平洋地域の14か国を拠点としており、日本の回答者数は300人となっている。また、すべての回答者は、従業員数100~5000人(100~1000人未満の組織が50%、1001~5000人未満の組織が50%)、売上高1000万ドル未満~50億ドル以上の範囲の組織に属している」と述べた。

ソフォス セールスエンジニアリング本部 シニアセールスエンジニアの三浦洋氏

 今回の調査レポートによると、過去1年間にランサムウェア攻撃を受けた組織の割合は横ばい(66%)で推移しており、攻撃者は大規模な攻撃を絶えず実行していることが示唆された。ランサムウェアの被害を受けた日本の組織は58%で、前年の調査データ(61%)から若干減少。従業員数と売上高別に割合を見ると、従業員数はランサムウェア攻撃を受ける割合にはほとんど影響していない一方で、売上高と攻撃を受ける割合には顕著な比例関係があり、売上高が多い組織は、攻撃を受ける割合も高いことが明らかになった。

ランサムウェア攻撃を受けた組織の割合

 ランサムウェア攻撃の根本原因について、最も多く報告された原因は「脆弱性の悪用」で、次いで「認証情報の侵害」、「悪意のあるメール」、「フィッシング」、「ブルートフォース攻撃」、「ダウンロード」の順となった。これは、ソフォスの2023年版の「ビジネスリーダーのためのアクティブアドバーサリ」で公開された、ソフォスチームが実際のインシデント対応から得た最近の知見とも一致しているという。

ランサムウェア攻撃の根本原因

 ランサムウェア攻撃によってデータが暗号化されたと回答した組織は76%(日本:72%)を占め、依然として高い水準を保っている。また、データが暗号化された攻撃の30%(日本:34%)では、データも窃取されており、暗号化とデータ窃取によって「二重に稼ぐ」手法が広がっている。

ランサムウェア攻撃によってデータが暗号化された組織

 データの復元については、データが暗号化された組織の97%がデータを取り戻したと回答していた。復元方法としては、バックアップを使用してデータを復元した組織は70%(日本:60%)で、46%(日本52%)の組織はデータを取り戻すために身代金を支払っていた。企業規模が大きくなるにつれて身代金を支払う割合も高くなっており、売上高が5億ドル以上の企業では半数以上が身代金を支払い、50億ドル以上の企業が最も割合が高かった。これは、身代金の支払いを補償しているスタンドアロン型のサイバー保険に加入する割合が、大企業ほど高いことを一因として挙げている。

売上高別の身代金支払いとバックアップの利用率

 身代金の支払額は、154万2330ドル(平均値)となり、前年の81万2380ドル(平均値)から大幅に増加した。復旧にかかる平均コストは182万ドルで、身代金を支払って復旧した場合の費用が75万ドル(中央値)であるのに対し、バックアップを利用した場合の費用は37万5000ドル(中央値)となっており、身代金を支払った組織では、復旧にかかる費用が2倍に膨れ上がることがわかった。さらに、身代金を支払った場合は、復旧にかかる期間も長くなっており、バックアップを使用した組織の45%が1週間以内に復旧しているのに対し、身代金を支払った組織では39%にとどまっていた。

データ復元方法別の復旧コスト

 今回の調査結果を受けて三浦氏は、「ランサムウェアは、組織の売上高、地域、業界に関係なく、あらゆる組織にとって大きな脅威のままである。攻撃は進化を続けており、これまで以上にデータが暗号化されるケースが増えている。また、データの暗号化に加えて、情報が窃取されるケースも大幅に増加した。ランサムウェア攻撃を受ける割合は、従業員数よりも売上高が大きな影響を及ぼしており、ランサムウェアが財務および業務に与える影響も昨年から増加している。データの復元については、身代金を支払うよりもバックアップを使用してデータを復元する方が多くの利点があるにも関わらず、バックアップを使用してデータを復元するケースは減少している」と指摘した。

 そして、ランサムウェア対策に向けたソフォスからの提言として、「防御力を強化する」、「攻撃への対策を事前に準備する」、「サイバーハイジーンを維持する」の3点を挙げた。

 「『防御力の強化』では、ランサムウェアに特化した防御ソリューションを導入し、攻撃に自動的に対応する適応型テクノロジーを活用すること。また、24時間365日体制で脅威の検出、調査、対応を行うSOCやMDRを利用することも推奨される。『対策の事前準備』では、定期的にバックアップを行うことに加え、バックアップからデータを復元する訓練を行うことも重要だ。そして、インシデント対応計画は最新の状態で維持すること。『サイバーハイジーンの維持』では、迅速にパッチを適用するとともに、セキュリティツールの設定を定期的に確認することが大切である」(三浦氏)としている。

 説明会の最後には、ランサムウェアなどのサイバー攻撃から組織を保護するために、ソフォスが提供しているソリューションとして、攻撃の発生源に関係なく挙動ベースでランサムウェアをブロックする「Sophos Endpoint」、優れたエクスプロイト防止機能を備えた「Sophos Endpoint」、豊富な実績をもつアナリストが24時間365日体制で脅威を検出、調査、対応する「Sophos MDR」、侵害された認証情報の悪用を阻止する「Sophos ZTNA」の概要について紹介した。