ランサムウェアは2019年も猛威をふるっており、データ暗号化マルウェアを用いたサイバー犯罪者らによる大手組織に対する攻撃は毎日のように発生している。
地方自治体、そして学校や大学のほか、病院やヘルスケアプロバイダーといったありとあらゆる組織がランサムウェア攻撃の被害に遭っている。ハッカーはこういった攻撃により、ファイルを復元する代償として高額の身代金をビットコインで支払うよう求めている。
こうした要求には応じないよう忠告されているにもかかわらず、身代金を支払ってしまう被害者も多い。その一方で、問題を自らの手で解決しようと試み、ネットワークを何日も、あるいは何週間もダウンさせ、時間とコストを費やしている被害者もいる。
ランサムウェアの毒牙にかかった組織に降りかかる可能性のあるダメージ、すなわち問題を解決するための財政的負担や、ハッカーの手に落ちたことで生み出される風評被害は誰の目にも明らかなはずだ。では、ランサムウェアに対する警鐘が鳴らされているにもかかわらず、攻撃が現在でも有効であり続けているのはなぜだろうか?
多くの組織幹部らが、依然としてサイバーセキュリティの深刻さに気付いていないというのも問題の一因となっている。
セキュリティ企業CrowdStrikeのセキュリティレスポンス担当シニアディレクターであるJennifer Ayers氏は「まさにこういった状況が20年以上にわたって続いている。つまり、セキュリティは業務運用において、いまだに優先事項として捉えられておらず、IT部門に押しつけられたり、脇に追いやられてしまっている」と述べた。
「ある種の変化はあった。特にこの10年を見た場合、投資は増えてきているものの、結局のところセキュリティチームは傍流の小さなグループであり、業務を支える柱の1つとして捉えられていない」(Ayers氏)
リソースを豊富に活用でき、専任でことに当たれる情報セキュリティチームがない場合、組織は意識するかしないかにかかわらず、OSやソフトウェアに対するパッチの適用などの基本的なセキュリティ対策をないがしろにしてしまいやすくなる。
例を挙げると、Microsoftは「WannaCry」が利用する「EternalBlue」という攻撃手法に対処する緊急アップデートをインストールするよう大々的な広報活動を繰り広げたものの、同攻撃が世界的にまん延した事実を考えると、被害者の多くが警告にもかかわらずパッチを適用していなかったのは明らかと言えるだろう。