Yahoo!ニュース

速報

自民・政治改革本部総会を終え石破首相コメント

2分前

ランサムウェア国内動向、2024年上期はVPN経由の感染が統計以来初めて50%を下回る。

大元隆志CISOアドバイザー
画像は筆者作成

 警察庁から「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」が公開された。今回は同レポートとリークサイトへの掲載数、決算報告書を用いて、日本国内のランサムウェア脅威動向について解説する。

■ランサムウェア被害報告件数の推移

 まずは、ランサムウェアの被害報告件数から見てみよう。以下のグラフは警察庁のレポートとランサムウェアのリークサイトデータベースであるeCrime.chの情報を基に作成したグラフである。

グラフは警察庁「サイバー空間をめぐる脅威の情勢等について」とeCrime.chの情報を基に筆者作成
グラフは警察庁「サイバー空間をめぐる脅威の情勢等について」とeCrime.chの情報を基に筆者作成

・昨年同時期を上回るペースで推移。ノーウェアランサムにも要注目

昨年が227件であったのに対し、2024年上期は既に昨年の半数を超えており、昨年以上のペースで推移していることがわかる。

また、注目すべき点として、昨年からノーウェアランサムが通常のランサムウェアとは別項目として計上されるようになっており、こちらのノーウェアランサムも昨年同時期と比較して増加している点だ。

ノーウェアランサムとは、データの暗号化を行わず、データを盗み出し、それを公開しないことと引き換えに身代金を要求する手口である。ランサムウェアによる暗号化を行わないことから、ノーウェアランサムと呼ばれている。

従来のランサムウェアに対しては、企業側はバックアップによる復旧で身代金を支払わない対応が可能であったが、ノーウェアランサムは暗号化を行うわけではないので、バックアップによる対応は効果がない

ノーウェアランサムによる被害は現時点でも全体の1割強を占めているが、攻撃側にとっては検出されるリスクが高まる暗号化やマルウェアの開発が不要という利点もあり今後も増加する可能性がある。企業側は「ノーウェアランサム」も想定した対策の検討が必要となるだろう。

・リークサイトへ掲載される割合は約2割

警察庁の被害報告件数とリークサイトデータベースであるeCrime.chで確認できた国内企業のリークサイト掲載数を基に、リークサイトへ掲載される割合を推測すると平均は21%になることがわかった。

警察庁の被害報告件数企業とeCrime.chの調査企業が一致しているわけではないが、ランサムウェアの被害にあうとどの程度の企業がリークサイトへ掲載される事態に発展する可能性があるのかを推測する一つの判断材料となるだろう。

もっとも、リークサイトに掲載されていないからといって「被害が少なかった」となるわけでは無い点には注意が必要だ。

攻撃者がリークサイトに掲載する目的は身代金を催促しているケースが多く、「既に身代金を受け取った」ケースにおいては、リークサイトに掲載する必要が無いからだ。

■ランサムウェア感染経路

次に、ランサムウェアの感染経路について見てみよう。今回、大きな変動が見られた。統計が始まって以来50%を超えて毎回増加傾向にあったVPN経由の感染が統計以来初めて50%を下回った。

警察庁「サイバー空間をめぐる脅威の情勢等について」を基に筆者作成
警察庁「サイバー空間をめぐる脅威の情勢等について」を基に筆者作成

国内の有識者が再三呼びかけてきた効果がようやく現れたのか、今回だけだったのかは、あと数回レポートの推移を見る必要があるが、改善した可能性が期待出来る。

しかし、VPNが下がった一方でRDP経由での侵入が増加した。VPNとRDPを合計すると83%にのぼり、昨年の81%を上回っており、インターネットに露出したVPNとRDPという二大感染経路が現在の主流となっている点に変化は無い。なお、メールからの感染は僅か1件だった。

ランサムウェアの感染経路の推移から読み取れることは、ランサムウェア対策として優先度高く対応すべき点はVPNの脆弱性対応、RDP実行機器の把握と制限であると言えるだろう。特にRDPについてはSIMカードを搭載したPCが侵害され、そのまま社内にRDP接続されるケースが確認されているので、SIMカード搭載PCからRDP接続を行っている企業は注意が必要だ。

■決算への影響

最後に、ランサムウェアが経営に与えた影響について見てみよう。2024年上期に公開された決算報告書内にランサムウェアに関する被害が掲載された企業を調査した。

ランサムウェアが決算に与える影響は主に三点ある。

一つは特別損失でありランサムウェアに感染したことによるシステム復旧や再発防止のためのセキュリティ対策費用が特別損失として計上される。2024年上期に最も大きかった特別損失は約20億円の費用を計上した企業がトップとなった。

二つ目は機会損失であり、ランサムウェア感染に伴い本来期待出来る営業活動等に支障が出たため販売機会を逃したことによる損失だ。機会損失で最も被害が大きかった企業は流通業の約29億円だった。

三つ目は決算発表の延期だ。ランサムウェアに感染したことで売上等の集計が出来なくなり決算発表の延期を決断した企業が2社あった。

ランサムウェアは上場企業にとってもはや無視出来ない影響を企業経営に与えることが読み取れる結果となった。

■まとめ

2024年上期は約30億円近い損失を受けた企業が現れるなど、ランサムウェアの被害が大きかった期間だったと言える。

ランサムウェアグループはロシアや北朝鮮の関与が疑われており、地政学的リスクの高まりもあり、今後も日本企業が標的となり続ける可能性は高い。

しかし、感染経路としてはインターネットに露出したVPNとRDPという二大感染経路が8割以上を占め現在の主流である事実に変化は無く、やみくもに対策を実施するのではなく、効果の高い対策から優先的に対処することを推奨する。

大元隆志
CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事