今後のランサムウェア攻撃で備えるべき「第三のリスクシナリオ」とは?
「暗号化による業務停止」だけでなく「暴露による情報漏えい」までも一般的になりつつあるランサムウェア攻撃。世界26ヵ国でこの脅威の被害を調査した結果、第三のリスクシナリオとして「レピュテーション」のリスクが見えてきました。
身代金を得るために進化を続けるランサムウェア攻撃
ランサムウェア攻撃は、長年に渡り法人組織における深刻な脅威として存在し続けています。実際に、IPA(情報処理推進機構)が発表する「情報セキュリティ10大脅威」では、2021年に続き2022年にも「ランサムウェアによる被害」が1位にランクインしています。
このランサムウェアが数年に渡り組織における最大の脅威として存在し続けている主要因は、ランサムウェア攻撃の目まぐるしい進化にあります。2018年頃にランサムウェア「Ryuk」が登場し、標的型攻撃と同じく対象の組織ネットワークに侵入する手法が採用されるようになり、特定の端末に留まらず組織ネットワーク全域で暗号化の被害が発生するようになりました。そして翌年にランサムウェア「MAZE」が登場したことで、暗号化だけでなく、標的型攻撃の手法で組織の重要情報を窃取し暴露する「二重脅迫型」が台頭しました。そして2022年では、特定のランサムウェアファミリに限定せず、最早それが一般的になりつつあります。ランサムウェアを扱う攻撃者の目標はあくまで「身代金の獲得」が優先課題であり、被害組織における身代金支払いの動機を高めるために日々新たな手法を模索しているのです。
このことから、ランサムウェア攻撃は数ある脅威の中でも、特にリスク分析および評価が難しい脅威であると言えます。現在では「ランサムウェア」という脅威に対して顕在化しているリスクとして「業務停止」「情報漏えい」という二つのリスクが主要なものとして想起されますが、今後はこれに留まるとは限りません。では、ランサムウェア攻撃のリスクと正しく向き合うにはどんな情報を把握するべきでしょうか?
ランサムウェア攻撃のリスクシナリオとして想定すべきものは何か
一般的に、ランサムウェア対策を見直す契機となるのが同業種・業界における被害です。これは、具体的なシナリオとして考えやすい反面、シナリオが特定の事例に限定されてしまうことになります。また、実際には報道などで表面化していない被害事例も多々あるでしょう。現在のランサムウェア攻撃のリスクを正しく把握するには、このような具体的な事例に加えて、世の中の一般的な被害傾向を理解しておくことも必要です。そこで、トレンドマイクロでは2022年5~6月に、世界26ヵ国、2,980名のIT意思決定者に対してランサムウェア攻撃の被害状況を調査しました。今回の記事では、調査で判明した結果を一部抜粋し、3つのリスクシナリオを提示します。なお、今回の調査のフルレポートはこちらからご参照ください。
第一のリスクシナリオ:暗号化による業務停止
まず、最も一般的かつ最初に想起されるシナリオである「暗号化による業務停止」に注目します。まず、ランサムウェア攻撃を受けてデータが暗号された経験のある回答者1,681名のうち、全てのデータを復旧できたのは54.4%(日本では52.5%)という結果でした。ランサムウェア攻撃による被害が続出し始めて数年経った現在でも、すべてのデータを復旧できる企業が約半数にしか満たない点は、データ暗号化へのリスク対応がまだ十分でないことを示唆しています。これは、リスク対応策としてバックアップを取っているものの、3-2-1ルールのような適切なバックアップ手法が取れておらず、バックアップも共に暗号化されてしまっているケースも少なくないことが予想されます。企業は、ランサムウェア攻撃に有効な方法できちんとバックアップを取ることができているか、現在の対応策の実効性を確認するべきでしょう。
また、ビジネスの影響という観点では、ランサムウェア攻撃を受けた回答者1,980名のうち、業務に何らかの影響があった回答者は86.7%(日本では81.4%)となりました。また、業務復旧に要した時間を「数日間“以上”」と回答した割合は76.7%にのぼりました。業務に影響が及ぶ主たる原因としてはデータの暗号化やシステムの停止が考えられますが、時にアメリカの石油パイプライン会社における感染事例のように、直接的な停止が無い場合でも攻撃の被害拡大を防ぐために停止せざるを得ない場面もあります。よって、「業務ができなくなる」ケースに加えて、「業務を止めざるを得ない」場面も想定した上で、これらのシナリオを想定しておくとよいでしょう。
第二のリスクシナリオ:暴露による情報漏えい
次に想定するべきが、二重脅迫型による情報の窃取およびその漏えいです。今回の調査では、ランサムウェア攻撃を受けた回答者1,980名のうち、74.3%がデータ流出に関する恐喝を受けたと回答しました。これは、現在のランサムウェア攻撃は二重脅迫型が一般的となっていることを裏付けています。法人組織は、ビジネスが停止するリスクだけでなく、情報漏えいという被害が発生することも前提に考える必要があると言えるでしょう。
漏えいした情報は技術情報が最も多く61.1%となっています。技術情報の漏えいは、企業のビジネスそのものに大きな打撃を与える可能性があり、情報の取り扱い・管理方法に一層の注意を払う必要があります。また、顧客情報も58.1%、ビジネスパートナー/サプライチェーン情報も47.2%と続いており、自組織にまつわる情報に限らずステークホルダーの情報も漏えいしているケースが多く存在することが分かります。これは、第三のリスクシナリオにも繋がります。
より大きなリスクとなる可能性がある「第三のリスクシナリオ」とは?
これまで紹介した二つのリスクシナリオは、現在のランサムウェア攻撃の被害報道などを踏まえると、もはや必然のものとして検討しておくべきシナリオです。加えて、今回の調査で判明した新たな事実を踏まえると、将来的に独立した一つのシナリオとして検討すべきリスクがあります。それは、「顧客やパートナーへの連絡(脅迫)による信用損失、レピュテーションリスク」です。
過去の事例でも、いくつかのランサムウェアオペレータは、二重脅迫に加えて更なる混乱を引き起こすためのDDoS攻撃(三重脅迫)、そして被害者の顧客や利害関係者(ビジネスパートナーなど)に直接連絡をすることで大きなプレッシャーを与える四重脅迫を行うことが確認されていました。例えば、DarkSideを操る攻撃者は、被害者となる顧客へメール送信やコールセンター等からの連絡により脅迫する手口が採用されていました。
実際に、今回の調査にて攻撃者が顧客やパートナーに連絡を取ったか調査したところ、ランサムウェア攻撃を受けた回答者1,980名のうち、67.0%の回答者が顧客またはビジネスパートナーに連絡されていたと回答しました。これは、現在のランサムウェア攻撃の脅迫手段について、データ暴露の二重脅迫型が一般化しているだけでなく、顧客やパートナーを巻き込んだ多重脅迫型も一般化し始めている可能性を示唆しています。
これまでのランサムウェアの変遷を振り返ると、標的型攻撃手法の変化、二重脅迫の一般化など、特定のオペレーターが成功を収めた手口を他の集団が模倣していき、やがてそれが一般的になるという歩みを進めています。これを踏まえると、過去に悪名高く大きな話題となったDarkSideをはじめ複数のオペレーターが採用していた手法を他のオペレーターも採用する動きはある意味自然な流れと言えます。
加えて、前述の情報漏えいリスクにおいても、顧客やビジネスパートナーに関する情報が漏えいしていることが分かっています。これらも加味すると、企業は第三のリスクとしてレピュテーションに大きな影響を及ぼすことを考慮し、有事の際にはこれらの関係者とコミュニケーションを取るための対応計画などを念入りに組むというリスク対応を取る必要があります。
3つのリスクシナリオを考慮してランサムウェアへの評価を見直す
本記事では、トレンドマイクロによる調査結果を踏まえて新たにランサムウェアという脅威をきっかけとした3つのリスクシナリオを提起しました。もちろん、第三のリスクシナリオは、今になって新たに顕在化したものではありません。しかしながら、攻撃者の手口の変化を踏まえると、今後より注目し、一つのシナリオとして対応を考えるべきといえます。
今後、法人組織がランサムウェア攻撃によって引き起こされるレピュテーションリスクに対応するためには、まず前提としてランサムウェア攻撃の被害に遭わないための防御策および侵入の早期検知体制が重要です。加えて、万が一被害を受けてしまった場合には、窃取されてしまった情報を含めた被害範囲の特定を迅速に行えるようにしておき、外部に向けたコミュニケーション計画を整備しておくべきです。この体制を築くことで、有事の際でも説明責任を果たし、信頼損失を低減することができるでしょう。
サプライチェーンセキュリティが重要視されるようになっている現在および将来においては、このレピュテーションリスクはさらに重要なものとなります。その一方で、攻撃者優位であるサイバー攻撃の世界では、絶対にインシデントを引き起こさない環境を作り上げるのは困難なことです。よって、事後対応だけでなく、事前の対策状況も含め、「説明責任を果たす」ことは組織の信頼関係を構築していく上で特に重要な要素となるでしょう。
Security GO新着記事
ダークパターンとは?企業にとってのリスクを解説
(2024年11月20日)
PPAPだけじゃない?セキュリティリスクにつながりかねない商習慣3選
(2024年11月20日)
病院でランサムウェア被害が起きたらどうする?ボードゲームでシミュレーション
(2024年11月19日)