昨年は二重脅迫や標的型など新たなランサムウェア攻撃がクローズアップされた年でした。国内でもカプコンや鉄建建設など企業を狙った大規模なランサムウェア攻撃がメディアで報じられましたが、日本社会がランサムウェア攻撃などのサイバー攻撃に対してどのように対処しているのか、その実態は今一つ見えてきません。昨年公表された各国のIT管理者を対象にしたアンケート調査結果では、ランサムウェア攻撃を阻止したとの回答が日本は5%ともっとも低く、「攻撃は日本で成功しやすい」と指摘しています。
3社に1社が身代金支払いに応じている?
この調査はイギリスのサイバーセキュリティ企業、ソフォスが民間調査会社に委託して実施した「ランサムウェアの現状2020年版」で26カ国計5000人のIT管理者にランサムウェアに関するアンケート調査を2020年1~2月に実施し、報告書にまとめて発表したものです。日本からは200人のIT管理者が回答をしているようです。調査の主旨についてソフォスは、ITニュースではわからないランサムウェア攻撃の背景にある現実を理解するためだとしています。ソフォスの調査結果によると、アンケートをした200人の日本のIT管理者のうち2019年にランサムウェア攻撃を受けたと回答した割合は42%だったということです。2人に1人に近い割合ですが、国別の比較では日本の割合は20番目で、もっとも高かったのはインド82%、次いでブラジル65%、トルコ63%と続いています。
また、ランサムウェア攻撃を受けたと回答したIT管理者のうち要求に応じて身代金を支払ったと回答した割合が日本は31%で、もっとも高かったインド66%、スウェーデン50%、フィリピン32%、ベルギー32%に次ぐ5番目の高さとなっています。ちなみにアメリカはランサムウェア攻撃を受けた割合は59%で国別では6番目に高いものの、身代金の支払いは25%と4社に1社となっていて日本よりも低い状況です。この調査データを見ると、日本へのランサムウェア攻撃は世界の状況と比べて必ずしも多いとは言えないが、攻撃を受けた組織は身代金を払いやすい傾向にあると言えそうです。昨年11月に発表された他社の調査(クラウドストライク2020年度版グローバルセキュリティ意識調査)では、世界のITセキュリティ担当者2200人を対象に調査を行い、2020年にランサムウェア攻撃を受けたと回答した日本のITセキュリティ担当者は200人中52%、うち身代金支払いに応じた割合は32%ということですから、ソフォスのデータとほぼ同じ傾向を示しています。
ソフォスの調査で注目されるのは、ランサムウェア攻撃を受けたと回答したIT管理者のうち、データが暗号化される前に攻撃を阻止できたと回答した割合は5%しかなく、調査をした26カ国の中で際立って低いことです。一方で日本は暗号化されたデータを復旧するコストがスウェーデンに次いで多く、しかも他国と比較するとスウェーデンと日本だけが突出して復旧コストがかかっている状況です。ソフォスの調査結果を総合すると、日本へのランサムウェア攻撃は決して多い状況ではないが、攻撃者は暗号化にほぼ成功しており、3社に1社の割合で身代金支払いに応じており、被害者は多額のコストをかけてデータを復旧しているというあまり歓迎されない実態が浮かびあがってきます。
国内専門家からは疑問の声も
ただ、国内のサイバーセキュリティの専門家からはソフォスの調査結果に疑問の声も聞こえてきます。ある専門家は「重大なランサムウェア攻撃の暗号化を阻止したかどうかという聞き方をしているが、阻止できれば重大なランサムウェア攻撃だったとは考えないのではないか?」と話し、設問への受け止め方で回答が違ってしまう可能性を指摘、日本のランサムウェア攻撃による暗号化阻止率5%、つまり100社に5社しか防御できていないとのデータには懐疑的な見方をしています。また、暗号化の復旧コストの国ごとのデータ比較には労働コストにかかるコストの差が反映されておらず、報告書もスウェーデンと日本のコストが際立って高い点について「給与が高い国のため修復に必要な人的コストが増している」と補足しています。
しかし、個人的には暗号化阻止率5%というソフォスの調査結果にそれほど違和感はありません。例えば昨年、問題になった即時振替サービス不正出金事件では、記者会見したゆうちょ銀行社長は「認証のところで止まっている限りは認証をしっかりすればいいと思いますけれど、その次の時にどうやってフィッシングとかハッカーとか起きる時に一定の期間で止めるという、こういうような仕組みをつくっていきたいと思っております」などと話し、認証を突破された後のセキュリティ上の対策の構築を図ることが急務との認識を示しました。また、昨秋、ランサムウェア攻撃を受けた鉄建建設は未知のウイルスに対して通信やデータから検知する態勢を整えたことをプレスリリースで発表しています。いずれも被害を受けてからの対応ですが、ほとんどの国内企業が同様の状況だと思われます。
深刻化するサイバー攻撃に対しどのようなセキュリティを構築してデータを保護していくべきか? これは企業にとどまらず、さらなるデジタル社会へ踏み出そうとしている日本社会にとって切実な問題になりつつあります
■出典
https://www.crowdstrike.com/resources/reports/global-attitude-survey-2020/
https://www.nikkei.com/article/DGXLRSP600746_W0A121C2000000/