サイバー攻撃、同じ企業が何度も被害に　「被害企業は簡単に食い物にできる餌食と見なされる」：この頃、セキュリティ界隈で

　ランサムウェアやDDoSといったサイバー攻撃を経験した企業の多くは、その後何度も被害に遭っている──。そんな実態が、イスラエルのサイバーセキュリティ企業Cymulateの調査で浮き彫りになった。「一度攻撃に遭った企業は、再び攻撃される可能性が高くなる」とCymulateは警鐘を鳴らしている。

Cymulateの発表（一部）

　調査は世界各国でIT、金融、政府機関など幅広い業種を対象として2022年4月に実施し、セキュリティ担当者858人から回答を得た。

　過去1年の間にサイバー攻撃に遭ったことがあるという回答は40％を占め、うち3分の2に当たる67％が2回以上の被害に遭っていたことが判明。1年間に10回以上の攻撃を経験したという回答も10％近くに上った。

　「被害企業は1度攻撃されても守りを固めようとせず、攻撃側から簡単に食い物にできる餌食と見なされていることが分かった」とCymulateは言う。サイバー攻撃の内容はマルウェアが55％と最多で、次いでランサムウェア（40％）、DDoS攻撃（32％）の順に多かった。

　被害の程度や影響は、企業の規模によって差があった。大企業の場合、57％がサイバー攻撃による業務への支障は短期間で済んだと答え、40％が全般的な被害は少なかったと回答している。従業員2500人以下の中堅中小企業の場合、業務への支障が短期間で済んだという回答は33％、被害が少なかったという回答は27％にとどまった。

　攻撃の発端として最も多かったのは、エンドユーザーをだまして不正なリンクやファイルをクリックさせるフィッシング詐欺メールの56％。続いて取引先との関係やサードパーティーソフトウェアを悪用したネットワーク接続が37％と多数を占めた。「自社にとって最大の弱点は、社内に存在するとは限らない」とCymulateは警告する。

　一方、悪意をもつインサイダーや悪意のない人為ミスを含め、内部関係者に起因するサイバー攻撃も29％を占めていた。

　こうした攻撃を防ぐためのベストプラクティスとしては、多要素認証（67％）、積極的なフィッシング対策と啓発（53％）、インシデント対応の入念な計画と実践（44％）、付与する権限を最小限にする（43％）が挙げられている。

　また、経営陣とサイバーセキュリティ担当者が定期的に会議を開いてリスク低減について話し合っている企業の方が、被害は少ない傾向にあった。

身代金の支払いはさらなる攻撃を招く

　特にランサムウェアを巡っては、再発防止策を徹底させないまま身代金を支払って済ませようとする組織に対し、関係機関が危機感を募らせている。

　英国国家サイバーセキュリティセンター（NCSC）と個人情報保護監督機関（ICO）は、「身代金を支払えば盗まれたデータは保護されるという考え方が存在しているようだが、それは誤っている」と断言した。

NCSCの発表（一部）

　両機関が7月7日に発表した共同声明によると、ここ数カ月でランサムウェア攻撃の件数も、支払われる身代金の額も増えているという。しかし「身代金を支払えば、攻撃者にさらなる加害行為の動機を与えることになる。ネットワークが復号されて盗まれたデータが戻るという保証はない」と強調する。

　「リスクが低減したと見なすためには、何が起きたのかを組織が完全に把握して、そこから教訓を学ぶ必要がある」とNCSCなどは指摘する。攻撃を受けた組織に対しては、なぜ自分たちがランサムウェアの被害に遭ったのかを理解して、再発防止のための措置を講じるよう促している。