ランサムウェアの被害金额は平均2.2亿円~最新调査から被害倾向を読み解く~
トレンドマイクロが2024年に行った最新の调査からランサムウェアの被害倾向を绍介します。また実际被害に遭った组织がどのような手法でランサムウェアに侵入されたのかなど、具体的に备えるべき攻撃にまで踏み込んで记载します。
Save to Folio
トレンドマイクロは2024年9月に、非営利活動法人CIO Loungeの監修のもと、国内の法人組織(従業員500名以上)に勤める経営者、セキュリティやリスクマネジメントの責任者(部長職以上)など、300人を対象として「セキュリティ成熟度と被害の実態調査 2024」を実施しました。
サイバー攻撃の被害组织の倾向を分析することで、ランサムウェア攻撃者などのサイバー攻撃者がどのような组织を标的にしているのか、またはどのような组织の弱点が狙われているのかが明らかになります。
本调査は、组织がセキュリティ戦略を検讨する上での重要な参考情报を提供します。本调査结果を通して、より多くの组织におけるサイバーセキュリティ対策の优先顺位付けに寄与することを目的としています。
本记事では今回の调査の中でも、特にランサムウェア攻撃に関连する部分の被害倾向を中心に取り上げ、その被害状况から组织が注力すべき対策事项について探ります。
今回の调査では40%の组织が过去3年以内にランサムウェア攻撃を受けたと回答しました。割合は昨年よりも少し増加しています。ランサムウェアが攻撃种别全体の中でも、ビジネスメール诈欺に次いで多いことからも、多くの法人がその胁威に近年も継続して晒されていることがわかります。
2024年の年间インシデントの倾向をまとめた记事にも记载しましたが、2024年には80を超える组织がランサムウェア攻撃による被害を公表しており、実际の被害报告にも结びついている点がその胁威の深刻さを示しています。
参考记事:2024年年间セキュリティインシデントを振り返る
不正アクセス(机密情报の窃取?暴露)についても、昨年の约4倍に上っていることも注目に値します。ランサムウェア攻撃の二重胁迫(システムの暗号化に留まらず、组织の情报を盗み取り暴露すると二重で胁迫を行う)はいまや多くの人が知る常套手段となりましたが、この结果は二重胁迫型ランサムウェア攻撃の増加と无縁ではないでしょう。
また调査では同様に过去3年间で最も大きな被害をもたらした攻撃を単一回答で収集しています。
こちらもビジネスメール诈欺についで、ランサムウェア攻撃が2番目の多さとなっており、具体的な金銭的被害にまでつながった組織が一定数いることが明らかになっています。
また调査では、昨年に引き続きランサムウェア攻撃による被害を受けた组织における过去3年间のサイバー攻撃被害额を寻ねています。
上図には记载していませんが、2024年度のサイバー攻撃被害全体の累计被害额平均は、约1.7亿円でした。ランサムウェア攻撃による被害を経験した组织の被害额平均が上図の通り约2.2亿円であることを鑑みれば、ランサムウェア攻撃を受けている组织の方がより大きい被害に繋がりやすいことが分かります。
また、図の2段目に见られる通り、昨年度の调査における累计被害额が约1.8亿円であることから、平均の被害金额が约4千万円増加していることも読み取れます。すでにランサムウェア攻撃は最大のサイバー胁威の一つと言っても过言ではない状况です。
调査の结果をより详しく见ていくと、2023年度の前回调査と比べて、「1~5千万円」の回答と「10亿円以上」の回答だけがその割合を増加させていることがわかります。全体の被害に繋がった割合が50%弱であることは昨年と大きく変化がないため、最も平均の被害额を上昇させた原因は「10亿円以上」の回答割合の増加にあります。
「10亿円以上」の回答割合が昨年の2倍强に上ることから、组织の担当者は、ランサムウェア攻撃が年々大规模な被害に繋がるケースが増加している可能性を踏まえて、今后のリスクを评価するべきでしょう。
回答者の所属する业种の割合が、ランサムウェア攻撃の被害経験者(左)と调査回答者全体(右)であまり差分がない、つまり业种的な特性が见られない、という点は注目すべき点と言えます。
この结果は、以前から本メディアでも指摘している通り、ランサムウェア攻撃者を全体的に见ると、特定の业种や组织を标的にしているわけではなく、弱点のある组织や攻撃者が侵入に成功した组织が结果的に狙われている、という分析と関连しています。つまり、セキュリティ体制に隙がある组织が狙われやすいという、単纯な结论です。
しかしこれは里を返せば、仮にどのような业种であっても、业种特有のセキュリティ上の限界があるということではなく、适切な対策が施されていればランサムウェアの被害が低减できるということを示しています。
组织规模の観点からもランサムウェア攻撃を経験した回答者の倾向を见てみましょう。
こちらも业种での分类同様、全体的な割合がランサムウェア攻撃の被害経験者と调査全体で大きくは変わらないため、规模の大小は、攻撃の対象になりやすい(あるいはなりにくい)ことと関连性は见られません。
ただし、ランサムウェア攻撃の被害経験者の割合において、20,000人以上の组织の割合が30%に及ぶことについては、全体の回答者が21.3%であったことを鑑みると、若干ですが大きい割合を占めています。
前章において、昨年よりも10亿以上の大きな被害につながるケースが増えているといった点も合わせて考えれば、より大规模な组织における被害が拡大してきている可能性があります。
调査の结果フィッシングメールがランサムウェアに最も使用された手口でした。フィッシングメールによる组织アカウントの夺取などにより侵入につながったと考えられます。
また、ついで多かったのがネットワークまたはシステムの脆弱性を突いた攻撃でした。こちらも组织への侵入时、または内部活动にあたって脆弱性が悪用された可能性があります。
フィッシングメールも脆弱性の悪用も、古くから使用されてきたサイバー攻撃の手法です。ランサムウェア攻撃の胁威が拡大していても、组织内への侵入等に使用される手法自体は目新しいものではなく、既に多くの组织において一定の対策が取られていると考えられます。それでも、同様の手法で被害が拡大しているということは、その手法自体がより洗练された、またはその手法の通用する対象(人、システムなど)が増えた、とも言えるでしょう。
例えば、生成础滨の発达によりフィッシングメールの文面が以前より自然なものになっていることで、フィッシングメール训练が効果を発挥できていない、社内で管理する滨罢システムが増加?多様化することによって脆弱性対策が施されていない机器が残留?増加してしまう、などのシナリオが考えられます。
どのようなシナリオであれ、重要なことは先进的、または高度なサイバー攻撃の実情について情报を収集しつつ、セキュリティ対策の内容を継続的に更新していくこと、また组织全体のセキュリティレベルを向上できるように、组织内部の滨罢资产を网罗的に监视し穴を无くしていくことの2つです。
组织はどのような対策を実施すべきか
第一に、侵入を防ぐことができれば被害を0にできることから、上记の侵入に使用されたと见られるフィッシングメールや脆弱性悪用、アカウント乗っ取りなどへの対策の彻底が有効であることは间违いないでしょう。
ただし、上述した通り、それらの具体的な手法が高度化している実态を鑑みて、最新の攻撃手法に関する情报を継続的に収集し、自社での训练や対策に都度盛り込んでいく试みが必要です。
また、対策に漏れがあった场合には弱点が生まれ、そこから侵入されてしまう可能性もあることから、経営层なども含めた社内の人材全体への教育、またそれぞれのアカウントの运用状况の监视、社内の全滨罢资产の棚卸と管理など弱点を见落とさない网罗的な対策が重要です。
すでに多数の滨罢资产が运用される今日の组织では、”人による运用”のみでこれらを実现することは限りなく不可能に近いことから、アタックサーフェスとなり得る情报资产ごとにリスクを优先付けするCREM(Cyber Risk Exposure Management)などの自动化技术や机能を採用することを推奨します。
またトレンドマイクロでは以前より、多様化?高度化するサイバー胁威が存在する现在においては、组织への侵入を防ぐ境界型防御だけでは被害の低减を実现することが难しく、侵入后の事后対策も并行して行うなど多层防御のコンセプトが重要である点を指摘してきました。
今回过去3年间で最も被害を受けた攻撃としてランサムウェアを选択した回答者に、ランサムウェアを検知できるまでの时间と、被害から復旧までに要した时间を寻ねており、その相関関係を示した図が下记となります。
検知までの时间が1时间以内であれば平均13.7时间で復旧しているのに対し、検知に1日以上かかった组织では平均390时间(=16.25日)復旧までに要していることから検知时间の长短が被害度合いに大きく影响していることが分かります。
つまりこれは、万が一侵入された场合でも素早く攻撃を検知することができれば、その后の被害を低减できる可能性があるということです。
素早い検知にあたっては、これも网罗的な滨罢资产の挙动监视が键を握ります。特に近年ではLiving off the Land(LotL:環境寄生型、またはシステム内寄生戦術)攻撃などの検知を回避する手法が広く普及しており、攻撃者は攻撃であることを见抜かれないための工夫を凝らしています。
こうした工夫を前に、膨大滨罢资产の详しい挙动の监视分析を人力で行うことには、多大なコストが必要となり结果として时间がかかってしまうことから、XDRなどのセキュリティ技术を使用することで、その対応速度を向上させる试みが有効です。
ランサムウェア攻撃は10亿円以上の被害额に及ぶ可能性のある、明确なビジネスリスクです。どのような业种?规模であってもセキュリティが甘ければ狙われる危険性があることを改めてここに记载しておきます。
ランサムウェア攻撃が対岸の火事であると思い込むことなく、また现在行っている対策が万全なものであると思い込むことなく継続的にセキュリティ対策をアップデートしていく姿势がこれからの组织には求められます。
