ランサムウェアの脅威と実情とは？情シスが経営層と共有したいポイント（2023年版）

近年、世界中でランサムウェアによる被害が拡大しています。システムやファイルを暗号化し、復号化のために身代金を要求するランサムウェアがなぜ、多くの企業にとって脅威となるのか、今回はその実態について解説するとともに、経営層とも脅威を共有するためのポイントをしょうかいします。
なお、このnoteは主に中堅・中小企業の新任情シスや兼任情シス向けの内容です。

1. 報道以上に深刻・脅威になっているランサムウェアの実情

「ランサムウェア」という名は、ニュースや新聞でも報じられたことから、情シスならずとも多くの方々がその概要をご存知かもしれません。しかし、日進月歩で進化し悪質化するその脅威と実情について、情シスは正しく認識しておく必要があります。なぜなら、こうしている今も、世界規模でランサムウェアによる巧妙で悪質な攻撃が、最新のテクノロジーをもって行われているからです。その脅威の一端を、IPA（情報処理推進機構）、警察庁、総務省などの情報をもとに、まずは見ていきましょう。

「ランサムウェアによる被害」は、2023年2月に公表されたIPAの情報セキュリティ10大脅威（2023）で3年連続で1位（組織）となりました。また警察庁の資料「令和4年におけるサイバー空間をめぐる脅威の情勢等について」（2023年3月）によると、警視庁に報告されたランサムウェアによる被害件数は過去最多の230件で前年より57.5％増加という結果になりました。これはあくまでこれは届け出があった件数なので、この数字は氷山の一角と考えられます。

また、ソフトクリエイトの調査では、セキュリティインシデント経験があると答えた企業（41.0％）のうち、22.0％がランサムウェア攻撃があったと回答しました。このように、決して少なくない数の企業が被害にあっています。しかも、ランサムウェアは企業規模を問わずに攻撃することが知られています。決して他人事とせず、対策を考えることが不可欠です。
 

ソフトクリエイト「数字で見る“情シス”の実像 2023」

2.ランサムウェアの脅威を経営層と語るために…よくある誤解とその回答例

ランサムウェアはニュースや新聞など報道でも取り上げられることが増えていますので、多くの経営者も関心を持っていると考えられます。もし、自社はあまり関係ないと考えているようなことがあれば大きな問題です。下記に、よくある誤解と実情を整理します。

誤解1：自社は規模が小さな企業なので大した利益もないだろう。わざわざ自社を狙うことはないのでは？

ランサムウェア攻撃は標的とされた企業規模に応じて身代金の金額を変えます。このことから、あらゆる企業がターゲットになり得る状況であり、セキュリティ対策が手薄な企業が狙われると言われています。警視庁によると、ランサムウェア被害企業の53％が中小企業となっています。
また、小規模の企業を踏み台にして、関連企業や取引のある企業を攻撃する（サプライチェーン攻撃）ことも行われるため、中小規模の企業もセキュリティ対策が重要視されています。実際、取引先経由でサイバー攻撃被害を経験した企業は17％に上るということがわかっています。

出典：警察庁「令和４年におけるサイバー空間をめぐる脅威の情勢等について(令和5年3月16日)」

誤解2：ランサムウェアの攻撃者は、人々が騒ぐので面白半分にやっているのでは？

→攻撃者は、かつて言われていたように、自分の技術を誇示したり、世間を騒がせたりすることが目的の愉快犯ではなく、金銭を目的とする攻撃を行う経済犯罪・組織犯罪に変化してきていると言われています。攻撃手法も巧妙化し、「目立つ攻撃」から「目立たない攻撃」に変化して、被害が広範囲に広がりやすいのも特徴です。 

誤解3：ランサムウェアもそのうち対策が進めばいずれ静まるだろう。

→ランサムウェア被害は増加傾向にあります。そして、攻撃に関する技術の進化は目をみはるものがあります。例えば、RaaS（Ransomware as a Service）という、ランサムウェアをサービスとして利用できるものもダークウェブ上で取引されているといいます。攻撃が成功したらその対価を支払うといわれていて、ランサムウェアを利用した「ビジネスモデル」が国際的に広がっているのです。つまり、犯罪をビジネスとしているわけで、金銭の取得が成功している限り続くものと考えられます。

IPA「『標的型メール攻撃』対策に向けたシステム設計ガイド」をもとに作成

 誤解4：ランサムウェア被害では、やむを得ないことだが、身代金を支払えば解決できる。

→ランサムウェア攻撃では、暗号化したシステムを復旧するために身代金を要求するというのが一般的です。しかし、それにとどまらず、顧客等の情報を公開すると脅迫されたり、攻撃を受けていることをビジネスパートナーに公開すると脅迫されたりするなど、四重脅迫が行われたという手口も報告されています。

誤解5：最近では、ランサムウェア攻撃に遭っても、復号できるツールがあるのでは？

→一部のランサムウェアには復号ツールもありますが、ランサムウェアはその種類が増加するだけではなく、常に亜種が生まれるなど急激なスピードで進化し続けています。また、上記でも述べたように二重脅迫などが行われる可能性もあるので、ランサムウェアに”特効薬”はないのが実情です。

3. ランサムウェアの事例を経営層と共有しよう

ランサムウェアに関する報道として、大手企業や医療機関などが攻撃されたケースを見たことがある方は多いでしょう。しかし、自社と業種や規模が近くない場合、どうしても他人事として考えてしまいがちです。そこで、自社の規模や業種・業界が近い事例をもとに伝えることで、より経営層や社内への共感を得やすくなることでしょう。下記にいくつか、業種・業界など別のランサムウェア被害事例をご紹介しますので、参考にしてみてはいかがでしょうか。

▼工場へのサイバー攻撃事例
「工場システムにおけるサイバーセキュリティ対策の検討状況について」より（経済産業省 サイバーセキュリティ課）

▼組み込み機器、IoTへの攻撃手法や事例
主なインシデント事例（経済産業省 商務情報政策局 サイバーセキュリティ課）

▼医療機関を標的としたランサムウェア攻撃の状況
「医療機関を標的としたランサムウェアによるサイバー攻撃について(注意喚起)」（厚生労働省）

▼各種サイバーインシデント事例
「制御システム関連のサイバーインシデント事例」シリーズ（IPA）
「ICT サイバーセキュリティ総合対策 2022」（総務省）

4. ランサムウェアに関する情報集

ランサムウェアについて情シスが知っておくべき情報を下記にまとめました。これらの情報も参考にして、経営層とともに自社のセキュリティを強化するために役立ててみてはいかがでしょうか。

ランサムウェア、あなたの会社も標的に？　被害を防ぐためにやるべきこと | 暮らしに役立つ情報 | 政府広報オンライン

マルウェア｢ランサムウェア｣の脅威と対策（脅威編）　警視庁

マルウェア｢ランサムウェア｣の脅威と対策（対策編）　警視庁

ランサムウェア被害防止対策｜警察庁Webサイト

ランサムウェア対策特設ページ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

ストップ！ ランサムウェア - NISC

ホーム | The No More Ransom Project

侵入型ランサムウェア攻撃を受けたら読むFAQ

被害に遭ったら｜ここからセキュリティ！ 情報セキュリティ・ポータルサイト

SECURITY ACTION 自己宣言を申請要件としている補助金・助成金 一覧 : SECURITY ACTION セキュリティ対策自己宣言

おわりに

今回は、ランサムウェアについて経営層と共有することで、よりよい対策につなげるための情報をまとめました。これらの情報を整理し、自社のセキュリティ強化に向けてぜひ、お役立てください。中堅・中小企業の方はこれからの対策を考える上で、下記の資料も役立ちますので、ダウンロードしてはいかがでしょうか。

Security Update 2023…レベル別に考える、セキュリティ対策のNEXTステップ ｜ 情シスレスキュー隊

また、ソフトクリエイトは「情シスレスキュー隊」にて、情シスに役立つ様々な情報を発信しています。こちらもぜひご覧いただき、情シス業務にお役立てください。

情報システム部の悩みや課題を解決する、情シスサポートメディア | 情シスレスキュー隊