McAfee Enterpriseは12月14日、「2021年の10大セキュリティ事件」を発表した。これは、「2021年のセキュリティ事件に関する意識調査」の結果に基づいており、2020年12月~2021年11月の期間に報道されたセキュリティ事件についての認知度を尋ねたものになる。対象期間からも分かる通り、現在大きな注目を集めている「Apache Log4J」の脆弱性など直近の動向に関しては含まれていない。
同社 執行役 セールスエンジニアリング本部 本部長の櫻井秀光氏は、業種業界や企業規模に偏りが出ないよう、なるべく均等に多くの業種と企業から回答を集めたとし、この調査が広く社会一般での認知度合いを示すものだと説明した。実際、業界的には重大なインシデントと見なされているもののランキングが低かったり、調査の実施時期に近いものの方が強く印象に残っている傾向があったりするという。ランキング自体は表の通りだが、参考として示された2020年のランキングと比較すると、個々の事件の認知度が大幅に低下している点が指摘された。
2021年の10大セキュリティ事件のランキング
参考として示された2020年の10大セキュリティ事件
具体的に、2020年の1位だった事件の認知度が59.2%だったのに対し、2021年の1位の認知度は43.0%と16.2ポイント低下している。また、2020年のランキングではトップ10全てが30%以上の認知度だったのに対し、2021年のランキングでは4位以下は全て10%台の認知度となっている。この点に関して櫻井氏は「セキュリティ事件に慣れてしまい、あまり印象に残らなくなってきている」のではないかとの見解を示した。
同氏はまた、別の調査である「2021 データ侵害・ランサムウェア被害の実態調査」の結果についても紹介。ランサムウェア攻撃を受けた経験については、「経験あり」が30.0%となっており、具体的には「サーバーが暗号化された」が47.5%、「PCが感染し操作不能になった」が49.2%、「サーバー内のデータが流出した」が26.7%、「復旧することと引き換えに金銭の支払いを要求する画面が表示された」が15.8%などとなっている。さらに、攻撃後の対応状況では、「身代金を支払い、復旧できた」が20.8%、「身代金を支払ったが、復旧できなかった」が21.7%で、被害を経験したうちの42.5%が身代金を支払ったという結果だった。一方、「身代金は支払わなかったが、復旧できた」は48.3%となっている。
ランサムウェア攻撃の被害状況
ランサムウェア攻撃後の対応状況
こうした結果について櫻井氏は、攻撃者の分業化やサービス化が進行しており、いわゆるRansomware as a Service(RaaS)が普及しつつあることが背景にあるのではないかと指摘した。以前は攻撃者側の技術力もまちまちで、暗号化したものを正しく復号できないことも多かったことから「身代金を支払っても復旧できない」という認識が被害者側にあり、「身代金を支払っても無駄」と考えられていた。
これがRaaS化されたことでランサムウェアの技術水準が引き上げられ、さらに攻撃者側としても「身代金を支払えばちゃんと復旧できる」という評価を確立することが利益につながるため、復号の成功率が高まったという。こうしたことが広く知られるようになったことで、被害者側でも身代金を支払って復旧するという対応が選択肢として検討対象となっている状況がうかがえる。
最後に対策状況について「Endpoint Detection and Response(EDR)をサービスとセット(いわゆるManaged Detection and Response〈MDR〉)で検討するユーザーが増加している」とし、さらにSecure Access Service Edge(SASE)のコンセプトが浸透したことから「ゲートウェイとクラウドセキュリティを統合型で検討」するケースが増えていることや、ゼロトラストへの関心が高まっていることなどを紹介した。
