他人事ではないランサムウェア、被害の半数は中小企業
企業を取り巻くサイバーセキュリティ状況は刻々と変化している。最新のトレンドとして岡本氏は情報処理推進機構(IPA)の2022年版情報セキュリティ10大脅威を紹介。上位2位は2021年版と変わらず、トップが「ランサムウェアによる被害」、2位に「標的型攻撃による機密情報の窃取」となった。
ランサムウェアは大企業を狙う攻撃というイメージもあるが、令和3年(2021年)は、ランサムウェア被害の54%が中小企業だったという。「企業規模に関係なく、深刻な脅威になっている」と岡本氏は指摘する。
ランサムウェアそのものも進化している。このところ被害が増加している最新型は、攻撃手法などが従来とは異なる。たとえば、これまでは「バラマキ型」で自動拡散していく手法だったが、特定の企業を狙う「標的型」が増えているという。
侵入後に攻撃者が手動でシステム内を探索して重要度の高いサーバーを狙って攻撃する「手動拡散」と組み合わせているそうだ。また、データの暗号化に加えて、暗号化の前に重要な情報を盗み出し、盗んだ情報を公開されたくなければ身代金を支払うように求める「二重恐喝」も増えているとのこと。
攻撃者側では、簡単にランサムウェアを拡散できる「RaaS(Ransomware as a Service)」という仕組みを使って攻撃するケースが増えている。RaaSではランサムウェア攻撃に必要な技術やノウハウをサービス化して提供しているため、攻撃者は高い技術力がなくてもRaaSを利用することで簡単に攻撃を開始でき、RaaS運営側はより高度な攻撃手法の開発に注力できるという役割分担が進んでいるようだ。
