ランサムウェアに最も狙われやすい組織とは？　～調査に見るランサムウェア被害の実態～

名実ともに一番の脅威となったランサムウェア

IPAが毎年発表している「情報セキュリティ10大脅威」において、最新版の2024年版では「組織］にとって脅威で「ランサムウェア」が1位となりました^※。これは、9年連続の選出であると同時に4年連続の首位獲得であり、もはや”不動”の1位と言っても差し支えないでしょう。
実際に、ここ数年で大きく取り上げられたサイバーインシデントを思い起こせば、昨年の名古屋港コンテナターミナルにおけるシステム停止や一昨年の小島プレス工業を発端としたトヨタ自動車工場の停止などが挙げられます。このことからもランサムウェア攻撃が名実ともに重大な被害をもたらすサイバー攻撃となったことは自明と言えます。
※IPA「情報セキュリティ10大脅威 2024」より。

脅威の大きさを測る要素として、被害が出た際の”規模”と同時に被害の出る”頻度”も挙げられます。
昨年公表されたランサムウェアの被害件数を見てみれば、2018年以来最大の被害件数となっていることから、ランサムウェア攻撃は、その被害の”頻度”についても拡大傾向にあることが予想されます。

国内組織が公表したランサムウェア攻撃被害件数推移（海外子会社や拠点での被害も含む）
※トレンドマイクロが公表内容を元に整理

今回は、そうした大きな脅威であるランサムウェア攻撃に関して、昨年トレンドマイクロとCIO Loungeが共同で行った調査　「セキュリティ成熟度と被害の実態 2023」（以降、本調査）の内、ランサムウェア攻撃に関連するデータを分析し、被害傾向や優先すべき対策を考察します。

ランサムウェアの被害額は１件当たり約１億円でよい？

2023年6月にトレンドマイクロが実施した調査では、国内において過去3年以内にサイバー攻撃被害にあった500人以上の組織に所属する、セキュリティまたはリスクマネジメントに関わる仕事に従事する部長職以上の方に、Webアンケートを実施しました。

参考記事：CIO Loungeとの共同調査から見えたサイバー攻撃被害に遭いやすい組織の特徴とは？～「セキュリティ成熟度」と「インシデント被害」の関係性から対策の有効性に着目する～

セキュリティ成熟度と被害の実態 2023 詳細版 CIO Lounge×トレンドマイクロ共同調査

資料はこちら

本調査の中では、過去3年間で受けた攻撃の内「最も被害コストの大きかったサイバー攻撃」の種類や被害度合いを調査しました。
過去3年間で最も被害コストの大きかったサイバー攻撃の種類として、ランサムウェア攻撃が一位となりました。

図：過去3年間で「最も被害コストの大きかったサイバー攻撃」の種類回答率上位5種類(N=305,単一回答)

この結果から、やはりランサムウェア攻撃は被害が起きた場合の被害コストが他の攻撃に比べても大きい傾向にあることがわかります。

では、ランサムウェア攻撃により被害が発生した場合、被害コストはいくらと見積もって計画しておくべきでしょうか。
本調査では、「各サイバー攻撃により生じた被害コストが金額に換算するとどれくらいになるか」も質問しており、その平均額を算出しています。

図：過去3年間で「最も被害コストの大きかったサイバー攻撃」の種類別平均被害額（「その他」、「わからない」を除く）とサンプル数（上位8種）

平均の被害額では、ランサムウェア攻撃は2番目に被害コストの大きい攻撃となりました。ただし、今回の調査においてランサムウェア攻撃はあくまで「脅迫・データ改ざん/破壊」のみを攻撃の中身として定義しています。暴露型ランサムウェア攻撃の場合、「脅迫・データ改ざん/破壊」に「機密情報の窃取・暴露」の要素が加わり、さらに被害コストの大きい攻撃となることに注意が必要です。
もちろん回答者の中でどこまでをランサムウェアによる被害で、どこからが情報暴露による被害かを明確に線引きできているわけではない可能性が高く、この金額を鵜吞みにする必要はありませんが、どちらにしても平均1億以上のコストが発生しているということにまずは留意しておくべきでしょう。

参考記事：ランサムウェアギャングが暴露するデータとどう向き合うべきなのか？

この1億というコストを大きいとみるか小さいとみるかは、各組織の環境や業態などにより評価が異なると思われますが、「ランサムウェア1件あたり1億」という見積が本当に正しいと言えるか、より正確にランサムウェア攻撃による被害額を理解するために、詳しくその内訳を見ていきます。

被害コストの内訳を見た場合、平均金額が1億円以上ではあったものの、1億円以上の被害に遭った組織は全体の18%に過ぎず、1億円以下の被害が約8割を占めているということが確認できます。これはつまり、発生確率を加味すればランサムウェアによって生じる被害のほとんどは1億円に届かないということが言えます。

では、なぜ平均額が1億円を超えるものとなっているのか、それは数%に過ぎない5億円以上の規模の損害を受けた組織の数値が、全体の平均値に影響を及ぼしているからに他なりません。
この事実は以前に別の記事でも触れた、サイバーインシデントの被害額統計に、「多発するが比較的軽微なリスク『RISK-A』」と「万が一の壊滅的リスク『RISK-X』」の2つが存在していることを表しています。

（参考：The nature of losses from cyber-related events: risk categories and business sectors（Journal of Cybersecurity, 2023））

本調査におけるランサムウェア攻撃の平均被害額は約1.2億円でしたが、前述の通り少数ながら10億円以上の被害が報告されていることも事実です。同じランサムウェア攻撃でも発生確率は低いとはいえ、壊滅的な被害も起こり得ることを想定して準備しておくことも重要です。
例えば、基本的には1億円規模の損害を想定した対応計画を準備しておきつつ、10億以上の損害リスクには別途サイバー保険に加入することでリスクを回避する、などのように切り分けてセキュリティ戦略を立てることが考えられます。

とにかく弱い組織がまず狙われる

どのような組織がランサムウェアの被害に遭いやすいのでしょうか。本調査では、「最も被害コストのかかったサイバー攻撃」としてランサムウェア攻撃を選択した回答者の所属組織規模を分類することで、ランサムウェアの被害傾向を探りました。

図：「最も被害コストの大きかった攻撃」でランサムウェア攻撃を選択した組織の規模内訳(N=53,単一回答)

結果として特定の規模の組織が目立って被害にあっているという、統計的な傾向は見られませんでした。ランサムウェア攻撃は、かつてのような不特定多数にプログラムをばらまくといった攻撃よりも、特定の組織に対して攻撃者が遠隔操作で攻撃を行う「標的型ランサムウェア攻撃^※」が主流となっているため、ある程度標的組織を絞って攻撃を行っているのでは、という予想もありましたが、組織規模に関しては傾向が見られない結果となりました。
ここから、攻撃者は特定の規模の会社を標的に定めて侵害を行っているというよりも、ネットワークに侵入できた組織を優先的に攻撃対象としている可能性があると見られます。サイバー攻撃者は泥棒などに例えられることがありますが、裕福そうな家を狙って計画的に盗みを行っているというよりは、窓のカギが開いている家が先に狙われる、といったイメージがこちらにあたるでしょう。この傾向は、当社の別のリサーチでも明らかになっており、ここからもし「自社のような小さい会社は狙われないだろう」といった認識を持っている経営層がいる場合には、実体と異なる可能性があることを示しています。
※ 海外では「Human-Operated Ransomware」、日本では「侵入型ランサムウェア攻撃」とも呼ばれます。

さらに本調査では、ランサムウェア攻撃が発生した拠点が国内外のどちらかについても質問しています。

ランサムウェア攻撃が海外拠点で発生したと答えた人の割合は25%でした。
今回の調査の回答者の内、海外拠点を持つ組織の割合は7割程度でしたが、今回の調査の対象が国内組織であり、またそれらの組織規模の内訳を考慮しても国内拠点の数の方が多い組織が多数であると考えられます。それでも25%の被害が海外拠点にて発生しているという事実は注意を払うべき内容と言えます。

先ほどの弱点のある組織が優先的に狙われるという事実を踏まえると、海外拠点におけるアセスメントとその結果を踏まえて、優先度が高い部分から対策を行うことで、ランサムウェアによる被害のリスクを下げることにつながる可能性があります。

ランサムウェア対策として何を優先するべきか？

ではランサムウェア攻撃を防ぐために優先すべき対策はなんでしょうか。
「標的型ランサムウェア攻撃」は、ランサムウェアのプログラムの実行さえ止めればよいというものではなく、侵入～プログラム実行までの間に行われる手口に関して、どれだけ早く攻撃を検知・ブロックできるかということが肝心です。
実際に、今回の調査でも「業務停止期間」が「攻撃の検知までにかかった時間」と有意に相関していることが明らかになっています。

図：「侵入から検知までにかかった時間」と「業務停止期間」の関係性を算出したグラフ

上図の通り、攻撃の検知までの時間が延びればその被害（業務停止期間）は、加速度的に拡大しています。
ここからランサムウェア攻撃を行うまでに使われた手段や手口について、すばやく対処するための準備を優先的に行うことで、より効率的にランサムウェアのリスク低減を行うことができることがわかります。
調査では、ランサムウェアの被害が発生するまでの間に、どのような攻撃が使用されたかについても尋ねています。

図：ランサムウェア攻撃で使用された攻撃手段　選択数上位4種類(N=53, 複数回答)

結果として、攻撃の手段にはフィッシングメールが最も選択されていました。このフィッシングメールは、ランサムウェア攻撃を行うにあたって、組織で使用しているアカウントの認証情報を奪うことで、標的組織内への侵入を行ったり、侵入の契機となる不正ツールをダウンロードさせるWebサイトなどに誘導したりしている可能性が考えられます。

ここからメール訓練による自社社員のリテラシー向上や、不正サイト対策などの基本的な対策が十分有効であることが読み取れます。
またパスワードの複雑化や定期変更などアカウント情報の堅牢性を高く保つ運用を徹底することも同時に有効な対策のひとつであると言えます。

よりリスクを下げたい場合には、万が一乗っ取られてしまった場合でも、アタックサーフェスリスクマネジメント（ASRM）などの技術を用いて、自社で持つアカウントなどの資産の状態を把握し、異常な挙動に気づくこと（海外からアクセスしている、深夜にログインしている）ができる体制を準備しておくことが有効です。

参考記事：
なぜEDRでは不十分？脅威の半数以上を占める不正メールを可視化するXDRの有効性
 アタックサーフェスリスクマネジメント（ASRM）を活用して企業のサイバーセキュリティを強化する方法

またシステムの脆弱性を突く攻撃についても回答数が多いことから、技術的な脆弱性対策も優先度の高い項目となります。ソフトウェアバージョンの定期アップグレードに加えて、セキュリティパッチの適用を行うなどの基本的対策はここでも有効です。
運用上の都合などでどうしても脆弱性が残存している場合には、仮想パッチを適用することや、XDR（Extended Detection and Response）などの技術を用いて脆弱性が悪用されたことにすぐに気づける体制構築が重要です。

XDRとASRMを備えたセキュリティプラットフォームは、今後の組織のセキュリティ体制を強化する上での重要なツールと言えます。まずは詳しい内容を下記でご確認下さい。

前述した通り、ランサムウェア攻撃の被害は組織規模に依らないという点からも、侵入できる組織には手当たり次第に攻撃を試みています。特に外部と接するシステムに関する脆弱性の検査・管理は被害発生率に直結する要素となるため優先的な対策が必要です。
また、標的組織と関わりを持つ組織を踏み台として標的組織に侵入するサプライチェーン攻撃が発生している現状を踏まえると、自社への侵入が他社侵害の起点となってしまう可能性があります。
サイバー攻撃の被害が自社だけに留まらない影響を持つ可能性が高まっていることから、自社セキュリティ体制を強化していくことの責任がより多くの組織に求められていくでしょう。

今回ご紹介した調査レポートは、下記からダウンロード可能です。