【ネット犯罪】“重要情報”と引き換えに金銭を要求する「ランサムウェア」が横行。日本企業の被害総額＜2.8兆円＞（2021年）に

（※写真はイメージです／PIXTA）

昨今サイバー攻撃によって生じるセキュリティを脅かす事件・事故は増加傾向にあり、深刻化しています。特に、ファイルを暗号化し利用不可能な状態にしたうえで、そのファイルを元に戻すことと引き換えに金銭（身代金）を要求するソフトウェア（ランサムウェア）が横行しています。本記事ではサイバーセキュリティの第一人者である淵上 真一氏が、サイバー攻撃の実態と、企業が取るべき対策について詳しく解説します。

ランサムウェアの被害総額2.8兆円

近年、サイバー攻撃によって生じるセキュリティインシデントは増加傾向にあり、減少に転じる気配は一向にありません。このことは各種調査でも明確に示されています。

たとえば、2022年に日本企業が受けたサイバー攻撃の1社当たり平均回数は970回／週に及んでおり、前年比29％増でした。また、ランサムウェアの被害総額は2.8兆円（2021年）で、2031年には2秒ごとにランサムウェアの被害に遭うだろうと予測されています。

ビジネスメール詐欺（Business E-mail Compromise：BEC）については、2016年から2021年までの6年間で総額6兆円の被害が発生しているのです。

サイバー攻撃の目的の大半は経済利得

なぜ、サイバー攻撃は増えているのでしょうか。以前から指摘されているセキュリティ対策の落ち度に対応し切れていない状況に加えて、環境が複雑化したことで、IT環境は脆弱性が増しています。そこをさまざまな動機を持つ攻撃者が突くわけです。

代表的な攻撃者とその動機の組み合わせには、「国家背景（地政学）」「犯罪者（経済利得）」「ハクティビスト（政治的主張や実現を目的とするハッカーのこと。イデオロギー）」「テロリスト（バイオレンス）」「愉快犯（自己満足）」「内部犯行者（不満）」といったものがあります。

では、どのような動機が主流となっているのでしょうか。米国インターネット犯罪苦情センター（IC3）への被害報告数を集計すると、大多数は経済利得を目的とする犯罪者による攻撃でした。

さらに専門家たちがさまざまなデータを基に分析を進めた結果、国家を背景とする攻撃者が圧倒的に多いことが指摘されています。国家と聞くと、諜報活動や敵対国家の重要インフラを狙う攻撃を想像しがちですが、実は大半が経済利得を目的とする活動です。

サイバー攻撃によって獲得した金銭は、国家的な犯罪行為や軍事増強のために利用される恐れがあることからも、セキュリティ対策の強化が求められています。

いまやランサムウェアは闇の一大産業に

クラウドサービスのような新たなビジネスモデルやエコシステムの登場によって企業のIT活用が容易になりましたが、サイバー犯罪の世界にも同様にトレンドがあります。

2015年には「経済目的の犯罪者は組織化されて活動している」との報告もあり、ランサムウェアをサービスとして扱うビジネスモデルが定着していると見られています。自前で環境を構築しなくてもソフトウェアの機能を享受できるSaaS（Software as a Service）のように、RaaS（Ransomware as a Service）というランサムウェアによる攻撃をサービスとして提供・実行するビジネスモデルが生まれました。

企業ネットワークへの侵入に必要な情報を売る闇市場、ランサムウェアの開発者、企業との身代金交渉者、資金浄化サービスなども存在しており、まさにエコステム（生態系）が形成されています［図表1］。

そのため、実際に攻撃を実行する犯罪者（ユーザー）は、高度な技術や専門性を持たなくても、攻撃をすることが可能になっています。

RaaS事業者の経営層は当然、経営視点で損益分岐点を考えているでしょう。サービスを提供するためのIT投資を行い、それに見合うだけの儲けがあってビジネスが成り立っているわけです。

視点を変えれば、それだけ被害に遭う企業が後を絶たないということを物語っています。攻撃側がITに投資しているのですから、その攻撃からシステムを守るためには、企業側にも適切な投資が必要なのです。

また、このようなサイバー攻撃ビジネスはRaaS以外にも登場しています。フィッシングメールを送るためのPhaaS（Phishing as a Service）や集中的にアクセスしてサーバーの負荷を高めてダウンさせるDoS攻撃（Denial of ServiceAttack）のサービスが、サブスクリプションモデルで提供されていることも確認されています。

無作為に片っ端から攻撃＜ネット版＞身代金要求犯罪のトレンド

「うちは日本企業だから」「製造業ではないから」「重要インフラを持っていないから」「規模が小さいから」「機密というほどの情報を持っていないから」……。サイバー攻撃に対して、こんなふうに思っているとすれば、今すぐその感覚を捨ててください。

報道では、特定の国や業界が狙われているような印象を抱くことがありますが、私たちが観測している範囲では、どんな国でもどんな業種でも狙われているのが現状です。

有名なランサムウェアグループ「LockBit」は、攻撃に成功しても被害者が身代金の支払いに応じない場合、リークサイトに社名を公開しています。公開された社名のうち日米の企業について集計したところ、製造業、サービス業の順で多いことは間違いありませんが、そもそも産業の構成自体がその順で多いわけですから、それだけで「製造業だけが狙われている」と結びつけることはできません。

「標的型攻撃」と呼ばれている特定企業や団体を狙った攻撃も続いていますが、今、猛威を振るうランサムウェアによる攻撃は金銭目的であり、RaaSを使って機械的に片っ端から攻撃しています。攻撃先がどのような企業なのかは関心事ではないのです。「満遍(まんべん)なく狙われている」と捉えて、緊張感を持って対応すべきでしょう。

余談ですが、国家背景の攻撃者の場合には、RaaSの設定から特定の国を攻撃の対象外にすることはあるようです。

企業イメージが失墜しかねないダメージを受けることも

プライバシーや個人情報の保護も「セキュリティ」として扱われています。これらに関する問題が発生すると、制裁金を科せられたり、被害者へ補償金を支払ったり、あるいは民事訴訟で責任を問われたりすることがあり、企業イメージの失墜にもつながります。

悪質な「二重脅迫型」の手口が横行。効果的な対策は？

このため、これらを企業活動のリスクとして捉えて、セキュリティ対策を講じている経営者は少なくないでしょう。

サイバー攻撃の被害に遭うと、犯罪者によってプライバシーや個人情報を暴露されるリスクが高まることは、古典的な「ハッカー」の目的が情報窃取であることから、広く認識されているのではないでしょうか。ただし、それはハッカーの能力に依存するため、対象も限られていました。

しかし、これまで述べてきたとおり、ランサムウェアは産業化することで攻撃実行のハードルが下がり、しかも攻撃対象を選びません。ランサムウェアを使った「二重脅迫型」の手口は、使用不可能にしたデータの回復と引き換えに身代金を要求するだけでなく、応じなければデータを流出させると脅します。

すでに犯罪者の手元にデータが渡っているため、公には暴露されていないだけで、厳密にはすでに流出してしまっています。そして、身代金を支払ったとしても、食い止められる保証はありません。

どんな企業も個人情報保護等の問題に直面するリスクが増えており、「今はまだ自社に順番が回ってきていないだけだ」と認識すべきなのです。

経営層がとるべきサイバーセキュリティ対策

サイバーセキュリティとリスクの距離が縮まる中で、個人情報保護とセキュリティを同じ机の上に並べて、企業活動における事業戦略の一部として対応しなければなりません。

ところが、サイバーセキュリティは往々にして独立した存在として扱われます。多くの企業では、所管のIT部門が計画や予算を立てて対応に当たるのではないでしょうか。これでは戦略が「サイロ化」してしまい、広い視野で捉えた対策を講じるのに支障をきたします。

サイバーセキュリティ対策はビジネスの目的にひもづかなければなりません。IT部門の予算配分を厚くするだけでは不十分であり、事業戦略からブレークダウンしてセキュリティ戦略を立て、経営企画や事業部門、リスク・コンプライアンス部門などとの連携も密に取り組みを進めなければ、効果は限定的になってしまいます。「セキュリティ戦略のサイロ化」を破るには、経営層のイニシアチブが不可欠なのです。

淵上 真一

日本電気株式会社（NEC）

Corporate Executive CISO兼サイバーセキュリティ戦略統括部長

NECセキュリティ取締役