〜重要インフラが攻撃を受けた場合、身代金の支払いに応じるべきと回答したのは22%〜
東京 (2021年6月9日発) - 2021年に入り、ランサムウェア被害の増加傾向はさらに加速しています。新種のランサムウェア攻撃、新しいサイバーギャングの出現に加えて、ランサムウェア攻撃被害がどのような影響を与えたかを報じるニュースが公表されない日はないと言っても過言ではありません。先月、米国最大の石油パイプラインが攻撃されたことで、このような攻撃がもたらす損害は、多額な身代金の支払いにとどまらず、攻撃を受けた企業のビジネスはもちろんのこと、社会的な影響まで及ぶことが明らかになっています。
昨今のランサムウェア被害の拡大を受けて、米国イリノイ州に本拠を置く、80以上の国で12.5万人以上のITプロフェッショナル会員を有するISACAが、1,200名のITプロフェッショナルに対して、ランサムウェアの脅威についてのアンケート調査を実施し、その結果を公表しています。
本プレスリリースは、KnowBe4のSecurity Awareness Trainingブログ(Stu Sjouwerman著)をもとに、ISACAのアンケート調査結果(2021年5月24日付けプレスリリース)を日本企業向けに日本語でまとめたものです。
ランサムウェアの脅威についてのISACAのアンケート調査結果の概要:
- 回答者の85%は、自分の組織がランサムウェア攻撃に対して少なくともある程度の備えができていると回答しているが、十分な備えをしていると答えた回答者は32%にとどまっている。
- 回答者の5人に4人は、「WannaCry」、「Petya」、「NotPetya」などの攻撃が大きな被害をもたらした4年前と比較して、現在の方がランサムウェアのインシデントに対する備えができていると回答している。また、回答者の3分の2の企業が、5月に発生した米国最大の石油パイプラインへのランサムウェア攻撃を契機に、自分の組織がランサムウェア攻撃対策を強化する予定であると回答している。
- 回答者の半数近く(46%)は、今後1年間に組織に影響を与える可能性が最も高いサイバー脅威はランサムウェアであると考えている。
- ランサムウェアによる攻撃のリスクは明らかであるにもかかわらず、回答者の38パーセントは、現状では従業員に対するランサムウェアにフォーカスしたトレーニングを実施していないと回答している。
推奨するランサムウェア攻撃対策の強化として次の10のポイント:
- リスク現状を把握する
- データの責任所在を理解する
- フィッシング詐欺メール攻撃の受信テスト・演習
- すべてのサイバーセキュリティ・ロールを定期的に評価する
- パッチ適用をタイムリーに評価する
- ポリシーの見直しを定期的に実施する
- 脅威インテリジェンスを適切に活用する
- すべてのエンドユーザーデバイスを保護する
- 経営陣と従業員との明確なコミュニケーションを徹底する
- 組織のサイバーセキュリティ意識成熟度を把握する
KnowBe4のセキュリティエキスパートはISACAのアンケート調査結果について次のようにコメントしています。
「本調査によると38%の組織が従業員に対してランサムウェア関連のトレーニングを実施していないとのことですが、ISACAはランサムウェアが増加している理由の一つとして「人的要因」を挙げています。その一方で、81%の企業が2021年の後半にランサムウェア攻撃がより頻繁に行われるようになると考えています。また、5月に発生した米国最大の石油パイプラインへのランサムウェア攻撃を教訓に、多くの企業がランサムウェアの脅威を学び、3分の2の回答者がランサムウェア攻撃対策を強化すると答えています。不審なメールは開かないという基本的なことを従業員に教えるだけでなく、最新のソーシャルエンジニアリング手口、フィッシング詐欺メールの動向や実際に発生しているサイバー攻撃事例などを盛り込んだ継続的なセキュリティトレーニングと本番さながらのフィッシング詐欺メール演習を連係して実施することが、ランサムウェア攻撃に立ち向かうためには、極めて重要であると言えます。」
KnowBe4 Japan合同会社の日本代表マネージングディレクターである根岸正人は、日本企業への助言として次のようにコメントしています。
「ISACAのランサムウェア攻撃に関するアンケート調査結果で、最も驚くべきことは、調査回答者の5人に4人が、自社がランサムウェアの攻撃を受けた場合、身代金を支払うことはないと思うと答えていますが、反面、米国最大の石油パイプラインのような重要インフラが攻撃を受けた場合、身代金を支払うべきだと答えたのは22%に達しています。米国最大の石油パイプラインのケースでは4.4百万米ドル(約4億8千万円)の支払いに応じたと報じられています。また、カリフォルニア州サニーベールを拠点とするアメリカのサイバーセキュリティテクノロジー企業である CrowdStrikeの昨年度末の調査レポートによると、200社の日本企業を調査したところ、その半数がランサムウェア攻撃に遭遇し、そのうち33社が身代金の支払いに応じており、その被害額総額は1億2300万円に達していると報告しています。身代金を支払うことは、サイバーテロ集団を支援することであり、彼らの活動を助長することにつながります。KnowBe4では、今年度2月に日本企業向けにセキュリティ意識改革・向上に向けた10のフェーズを再定義して、発表していますが、是非このプレスリリース(https://www.knowbe4.jp/press/the-10-phases-of-organizational-security-awareness)を参照して、自社のサイバーセキュリティ意識レベルと成熟度を把握して、さらなるセキュリティ意識の改革と進化へ挑んでもらいたい。」
KnowBe4のセキュリティ意識向上トレーニングの詳細については、https://www.knowbe4.jp/knowbe4-training-modules-overview/をアクセスしてください。
<KnowBe4について>
KnowBe4は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick(ケビン・ミトニック)がCHO(Chief Hacking Officer)を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2021年4月現在、3万7千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。また、日本においては、2019年11月にKnowBe4社の100%出資日本法人「KnowBe4 Japan合同会社」を東京都港区に設立し、2020年2月1日付けで日本代表マネージングディレクター 根岸正人が就任し、日本国内での本格的な販売及びマーケティング活動を開始しました。 https://www.knowbe4.jp/
