本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。
かつては無差別であったランサムウェア攻撃が2010年代半ばより民間企業や公共機関といった法人組織を明確に狙うようになって約10年が経過した。印刷会社から物流、建設から大学や地方自治体と、2025年も国内で続々とランサムウェアによる被害が報告されている。今回は、ランサムウェアの3つのトレンドを踏まえて、これからのランサムウェア対策を考察してみる。
身代金を得るための代表的な恐喝手段
ランサムウェアが各国の警察や法執行機関を装って個人のインターネットユーザーを脅かす脅威から、法人組織を標的とする脅威へと変貌を遂げてから今年で約10年が経過する。JPCERT コーディネーションセンター(JPCERT/CC)の報告書(PDF)でも指摘されているように、2015年以降、それまで海外が大半であったランサムウェア感染の影響が国内でも明確になり、法人組織での被害報告が急増した。そして、ランサムウェアによる被害の発生は、残念ながら世界的にも高止まりの状況だ。被害者に要求する身代金も、以前なら日本円で数万円程度だったが、今では桁違いになっている。依然としてサイバー犯罪の世界でビジネスモデルとして成立している実態がうかがい知れる。元々は、データを暗号化して、元に戻すための暗号鍵と引き換えに身代金を要求する手口だった。標的組織の事業や業務の継続に必要なデータを使用困難にすることで、プレッシャーを与えるものだった。近年は、データを窃取した上で、「ダークウェブ上にデータを公開されたくなければ身代金を支払え」と促す、いわゆる暴露型の手口も台頭している。暴露をちらつかせてレピュテーションリスクに訴えるというものだ。
筆者の所属するパロアルトネットワークスが2024年に世界各地で対応を支援したランサムウェアの被害事案を見ると、データを暗号化されたケースが92%、データを窃取されたケースが60%となっている。身代金を支払わせるための手口として、分散型サービス妨害(DDoS)攻撃が行われたり、経営層を直接脅迫したりするなどの嫌がらせ(ハラスメント)も、2021年に5%だったものが、2024年には13%に増加している。
単一の恐喝手段だけのケースもあれば、手段を併用する多重恐喝というパターンもある。データ窃取だけを行う「ノーウェアランサム」が新たな手口として2023年に話題になったが、元をたどると、類似の手口による被害が国内では既に、2016年には確認されている。犯罪者にとってこの手段は、データ暗号化の手間(準備や処理時間など)を省けるというメリットがある。多重恐喝が主流となっていることからも、犯罪者が経済的利益を得るために手段を選ばないことがうかがえる。
