63% of organizations paid the ransom last year
2022/04/06 HelpNetSecurity — CyberEdge Group のレポートによると、昨年は 71% の組織がランサムウェア攻撃の被害を受け、2017年の 55% から増加し、過去最悪の結果となった。また、被害に遭った組織のうち、要求された身代金を支払ったのは 63% であり、2017年の 39% から大きく増加している。
Colonial Pipeline/CNA Financial/JBS Holdings などの組織が身代金を支払ったが、をの理由については、以下の3つの説明がある。
- 流出したデータが暴露される脅威:最近のランサムウェア攻撃の大半は、漏洩したデータを暗号化するだけはなく、そのデータを流出させるという手段も用いる。身代金を支払わない場合、機密性の高いデータが公開され、被害者が困惑する可能性があり、また、そのような状況に陥っている。
- 復旧コストの低減:多くの企業は、公開された機密データから生じる、システムのダウンタイム/顧客の混乱/訴訟の可能性などの高コストに耐えるよりも、身代金を支払う方が遥かに低コストであると結論づけている。
- データ復旧に対する信頼性の向上:身代金を支払った被害者のうち、昨年は 72% がデータを復旧し、2017年の 49% から増加している。このように、データ復旧の成功に対する信頼が高まったことが、身代金支払の判断材料になることが多いようだ。
CyberEdge Group の CEO である Steve Piper は、「最近では、ランサムウェアの被害に遭うことは、[もし] よりも [いつ] なのかという問題になっている。身代金を支払うかどうかを決めるのは、簡単なことではない。しかし、前もって慎重に計画を立てれば、ランサムウェア攻撃よりも、かなり前に決断を下すことができる。少なくとも、身代金の支払い期限が近づくにつれて、貴重な時間が無駄にならないよう、判断の枠組みを整備しておく必要がある」と述べている。
根強く残る人材の問題
毎年 CyberEdge は、組織をサイバー脅威から適切に守ることを阻む、潜在的な要因について評価を求めている。今年の回答で多かったのは、過去3年間と同様に、「スキルを持った人材の不足」と「従業員のセキュリティ意識の低さ」である。つまり、予算や技術に関連する問題ではなく、人材に関連する問題が2大課題として根強く残っている。
今年の報告書によると、回答した組織の 84% が、IT セキュリティの熟練者の不足を感じている。最も必要とされているのは、IT セキュリティ管理者 (41%)、IT セキュリティ・アナリスト (33%)、IT セキュリティ・アーキテクト (32%) の順となる。
また、従業員の採用時に、電子メールや Web ベースのサイバー脅威を回避する方法について教育していても、それを強化するための追加的/定期的なトレーニングにより、フォローアップしない組織が非常に多くなっている。ほとんどの情報漏えいは、従業員に対する教育不十分に起因しているため、このような見落としは、組織にとって大きなリスクとなる。
その他の重要な発見
このレポートでは、さらに以下のような洞察を得ることができた。
- セキュリティ支出の増加:回答した組織において、セキュリティ予算を増額しているのは 83% であり、昨年の 78% から増加している。平均的なセキュリティ予算は、2021年の 4.0% から、2022年には 4.6% 伸びている。
- 2022年に最も注目されたセキュリティ技術: CyberEdge は、セキュリティ部門の現在/将来の投資を、5つの技術カテゴリで追跡している。2022年に最も注目されるセキュリティ技術としては、次世代ファイアウォール (ネットワークセキュリティ) 、デセプション技術 (エンドポイント・セキュリティ)、ボット管理 (アプリケーション/データのセキュリティ)、高度なセキュリティ分析 (セキュリティ管理/運用)、バイオメトリクス (ID/アクセスの管理) が挙げられている。
- 今年の弱点:モバイル・デバイスと ICS/SCADA デバイスと IoT デバイスは、セキュリティ確保が最も困難な IT コンポーネントとして、今年のトップに挙げられている。
- API に注意:API を保護するソリューションは、64% の組織で採用されている。
- 個人情報/認証情報のリスク:Web/Mobile アプリケーションに対する攻撃において、最も多く狙われるのは Personally Identifiable Information (PII) と Account Takeover (ATO)であり、懸念事項となっている。
- ハイブリッド・クラウド・セキュリティの頭痛の種:ハイブリッド・クラウド・セキュリティの課題としては、「不正なアプリケーション利用の検出」(46%) と、「サイバー脅威の検出と対応」(45%) が上位に挙げられている。
- 需要の高い専門資格:調査参加者の 99% が、IT セキュリティの専門資格を取得することでキャリア・アップにつながるという意見に同意している。最も需要の高い専門資格の上位には、クラウド・セキュリティとソフトウェア・セキュリティがランクインしている。
- アプリとデータのセキュリティ統合:アプリケーションとデータのセキュリティが統合されたプラットフォームにより得られる効果として、「クラウド・セキュリティ・ポスチャの改善」と「セキュリティ・インシデント調査の強化」が上位に挙げられている。
- 在宅勤務者 (WFH) の保護:在宅勤務の従業員を保護するためにセキュリティ・チームは、アンチウイルス製品や、VPN 製品、SD-WAN、ネットワー・クアクセス制御 (NAC)、モバイル・デバイス管理 (MDM) などのソリューションに依存している。
- 新興テクノロジーの採用:大半の組織が、SD-WAN (82%)、ゼロトラスト・ネットワーク・アーキテクチャ (77%)、セキュリティ・アクセス・サービス・エッジ (SASE) (73%) などの、新しいセキュリティ・テクノロジーを採用している。
ランサムウェア・ギャングからの身代金要求に対して、63% の組織が支払いに応じているということですが、その理由として、①流出したデータが暴露される脅威や、②復旧コストの低減、③データ復旧に対する信頼性の向上などが上位を占めるようです。また、③におけるデータを復旧の確率ですが、2021年は 72% に達しているようです。難しい判断が要求される状況へと陥りますが、文中にあるように、「身代金の支払い期限が近づくにつれて、貴重な時間が無駄にならないよう、判断の枠組みを整備しておく必要がある」というのは、もっともな話だと思います。この記事の元データになっているのは、CyberEdge Group のレポート Cyberthreat Defense Report となります。また、2021年9月の「ある CISO の証言:ランサムウェアと身代金の関係は柔軟に考えるべき?」もお勧めの記事です。
IoT OT Security News 