ランサムウェア攻撃 が発生してからその後の対応に関する興味ある新たな調査レポートがあるが、極めて驚くべき考察が示されている。
ランサムウェアの攻撃をどうにか対応して、これで一件落着としたいところだが、残念なことに、そうは簡単にいかない。米サイバーリーズン社の最新レポート 「Ransomware: The True Cost to Business 2022 (ランサムウェア:ビジネスにもたらす真のコスト)」は、ランサムウェア攻撃によって企業や団体が受ける真の被害の実態は報告している。
まず、このレポートが示す衝撃の実態に注目してほしい。まず、なんと、73%の組織が過去12カ月間にランサムウェア攻撃を受けていると回答している。次に、注目すべきは、攻撃を受けた後の身代金支払の実態である。これの調査レポートによると、次の通りである。
- 41% が「早期の復旧」のために身代金を支払っている
- 28%が「ダウンタイムの回避」のために身代金を支払っている
- 49%が「売上損失の回避」のために身代金を支払っている
しかし、残念なことに、身代金を支払っても、身代金を支払った80%の企業や団体が2回目の攻撃を受け、68%がより高い身代金を要求されている。
そして、最終的に、ランサムウェア攻撃が及ぼした結果は次の通りである。
- 54%がシステムやデータが破損したままで、完全に回復できていない
- 37%が従業員の解雇を余儀なくされた
- 35%がCレベルの役員が辞任に追い込まれた
- 33%が一時的な業務停止を余儀なくされた
さらに興味ある調査結果がある。これによると、75%の組織がランサムウェア攻撃に対処するための適切な緊急時対応策を持っていると考えていることだ。また、この数字は昨年と変わっていない。この調査結果(相当数の組織が緊急時対応策を策定していること)にもかかわらず、ランサムウェア攻撃被害の現実は深刻化している。この乖離は、「The best-laid plans of mice and men often go awry(生きとし生けるものの計画は入念に策定しても失敗に終わることが多い)」という古い格言を思い出させる。
皆さんの組織にランサムウェアに対処するための「計画があった」としても、それが本当に効果を発揮して、すべてを阻止できるかを再考してほしい。計画ありきでは、この問題は解決できない。そこに必要なのは、いかに実践するかを示す戦略である。KnowBe4はセキュリティ意識向上トレーニングこそが戦略であると考えている。従業員一人ひとりがこの継続的なトレーニングを通して学習し、従業員一人ひとりがランサムウェア攻撃の罠にはまらないようにすることである。まずは、ランサムウェア攻撃を仕掛けようとする悪質なコンテンツを、従業員一人ひとりが見分けることができるようになることである。