悪質化するランサムウェア、多層的なセキュリティ対策を - 週末や休日も要注意
目次を閉じる
ますます重要になるセキュリティ対策
生活や仕事をするにあたり、スマートフォンやPC、インターネットを利用しないで過ごせる日は今やありません。デジタル化やデジタルトランスフォーメーション(DX)の流れもあり、ICTの必要性は高まる一方でしょう。
そこで、システムが常に問題なく動くよう、保守点検でトラブルを未然に防ぐことになります。特に、サイバー攻撃による障害発生は大きな被害につながりかねないので、セキュリティ対策が重要です。
引き続き警戒すべき「ランサムウェア」攻撃
セキュリティ対策を行うには、用心すべきサイバーリスクを知る必要があります。情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2023」(※1)を参考にしましょう。
これは、2022年に発生した数多くの情報セキュリティ事案から、社会的な影響の大きかった脅威を選定したものです。もっとも影響度の高かった脅威は、3年連続で「ランサムウェアによる被害」が選ばれました。ワースト10項目は以下のとおりです。
| 順位 | 「組織」向け脅威の内容 |
|---|---|
| 1位 | ランサムウェアによる被害 |
| 2位 | サプライチェーンの弱点を悪用した攻撃 |
| 3位 | 標的型攻撃による機密情報の窃取 |
| 4位 | 内部不正による情報漏えい |
| 5位 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 6位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 7位 | ビジネスメール詐欺による金銭被害 |
| 8位 | 脆弱性対策情報の公開に伴う悪用増加 |
| 9位 | 不注意による情報漏えい等の被害 |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) |
しかも、ランサムウェア攻撃は悪質化しており、データを暗号化して読めなくして「身代金」を要求するだけでなく、不正取得したデータを公開してしまうと脅す「二重脅迫」も行われるそうです。それどころか、DDoS攻撃を仕掛け、被害者の顧客や利害関係者へ連絡するとさらに脅す「四重脅迫」まで登場し、凶悪化が進んでいます。
ランサムウェアが猛威を振るう状況は、2023年も変わらないようです。サイバーリーズンの「2023年サイバー脅威予測」(※2)によると、2023年に警戒しておくべき脅威のトップにランサムウェアが挙げられました。
※1 情報処理推進機構(IPA)『「情報セキュリティ10大脅威 2023」を決定』, https://www.ipa.go.jp/about/press/20230125.html
※2 サイバーリーズン『「2023年サイバー脅威予測」を発表』, https://www.cybereason.co.jp/news/press-release/9859/
攻撃を知り、適切な対策を
システムを攻撃から守るには、攻撃を知り、適切な対策をとることが基本です。
週末や休日に警戒強化を
ランサムウェアには、どう対応したらよいのでしょうか。サイバーリーズンの調査(※3)では、週末や休日に警戒を強めるべき、という知見が得られました。
週末や休日にランサムウェア攻撃を受けたことのある組織を対象に調べたところ、回答者の3分の1が「平日のランサムウェア攻撃よりも大きな収益損失」を被ったと答えたそうです。なかでも教育業界と運輸業界では、週末や休日の被害が大きいとした割合が、それぞれ42%、38%と高くなりました。
興味深いのは、配置されているセキュリティ要員の人数です。44%が「休日や週末に平日比で最大70%もセキュリティ要員を削減」し、20%が「平日と比較して90%もセキュリティ要員を削減」していました。休日や週末に平日比で80%以上の人員を配置しているのは、7%だけでした。
そのため、週末や休日にランサムウェア攻撃を受けると、評価と対応に平日より多くの時間がかかってしまいます。その結果、被害も大きくなるのです。
攻撃を仕掛ける側もこの状況を理解していて、悪用しているのでしょう。逆にいえば、ランサムウェア攻撃を防いだり、被害を抑えたりするには、週末や休日のセキュリティ体制を強化すると効果が期待できます。
※3 サイバーリーズン『サイバーリーズンによる最新調査で、休日や週末における企業を狙ったランサムウェア攻撃の被害が明らかに』, https://www.cybereason.co.jp/news/crinc-news/9642/
日本企業の対策は不十分
セキュリティ対策には、コストがかかります。ところが、日本企業は十分なコストをかけていないようです。
NRIセキュアテクノロジーズが日本と米国、オーストラリアの3カ国で行った調査(※4)によると、最高情報セキュリティ責任者(CISO)を設置している企業の割合が、日本は39.4%にとどまり、米国の96.2%、オーストラリアの96.0%に比べお寒い状況でした。従業員数が1万人以上の企業でも、日本ではCISO設置率は65.3%しかありません。
出典:NRIセキュアテクノロジーズ / 日・米・豪の3か国で「企業における情報セキュリティ実態調査2022」を実施
日本企業のセキュリティ人材不足も深刻です。
情報セキュリティの管理や社内システムのセキュリティ対策に従事する人材の充足状況を尋ねたところ、日本企業の「どちらかといえば不足している」「不足している」を合わせた割合は89.8%にもなりました。これに対し、米国は9.7%、オーストラリアは10.8%です。
しかも、日本企業のセキュリティ人材不足は根深い問題で、2012年度の調査でも84.4%の企業が人材不足と回答しています。つまり、10年以上も改善できていません。
出典:NRIセキュアテクノロジーズ / 日・米・豪の3か国で「企業における情報セキュリティ実態調査2022」を実施
ただし、明るい兆しもあります。新規セキュリティ対策へ投資する予算について、前年度より「増額した、または増額する見込み」と回答した日本企業が、全体的に増えていました。
出典:NRIセキュアテクノロジーズ / 日・米・豪の3か国で「企業における情報セキュリティ実態調査2022」を実施
※4 NRIセキュアテクノロジーズ『日・米・豪の3か国で「企業における情報セキュリティ実態調査2022」を実施』, https://prtimes.jp/main/html/rd/p/000000091.000052432.html
ランサムウェアには多層的なセキュリティ対策が必要
IPAは、ランサムウェア攻撃を防ぐことが難しい理由として、ランサムウェアの感染経路が多岐にわたることを挙げています。そして、ウイルス対策や不正アクセス対策、脆弱性対策といった基本的な対策を、確実かつ多層的に適用することが重要、としました。
さらに、攻撃に屈してしまった場合に備え、バックアップ体制の整備、復旧計画の策定なども忘れずに行いましょう。
