新たな脅威「サプライチェーンランサムウェア攻撃」の厄介な手口：ランサムウェア対策の常識・非常識【第3回】

ランサムウェア攻撃では、企業を狙う「ルート」が多様化している。中堅・中小企業が特に注意する必要があるのは「サプライチェーン」を悪用したランサムウェア攻撃だ。その手口と被害とは。

[Arielle Waldman，TechTarget]

　セキュリティベンダーのCybereasonが2022年6月に発表した調査レポート「Ransomware: The True Cost to Business 2022」は、ランサムウェア（身代金要求型マルウェア）攻撃の被害を分析している。企業は自社が標的にならなくても、ランサムウェア攻撃による被害を受ける場合がある。どういうことなのか。

サプライチェーンランサムウェア攻撃の手口とは？　あのKaseya事件から学ぶ

併せて読みたいお薦め記事

連載：ランサムウェア対策の常識・非常識

• 第1回：ランサムウェア攻撃で身代金を“絶対に払ってはいけない理由”はこれだ
• 第2回：“バックアップ万能論”は幻想　ランサムウェア対策の誤解と真実

ランサムウェアは企業にとって無視できない脅威

• ランサムウェア被害のCIOが明かす「わが郡はランサムウェアにこう攻撃された」
• 真っ先にやるべき「ランサムウェア対策」はこれだ

　企業がランサムウェア攻撃を受ける確率が高まっている。Cybereasonの調査では、回答者の約73％が「24カ月以内に少なくとも1回はランサムウェア攻撃の標的になった」と回答。2021年の調査時は55％だった。

　Cybereasonによると、昨今は標的企業のサプライチェーンを担う取引先の企業を狙った攻撃者の動きも活発だ。今回の調査では、24カ月以内にランサムウェア攻撃による被害を受けた企業の64％は、直接自社ではなく、サプライチェーン企業が標的になったと回答した。ただし企業の規模によって違いがある。「中堅・中小企業はサプライチェーン、大企業は自社が攻撃を受ける傾向がある」とCybereasonは説明する。

　2021年、ランサムウェア「REvil」によるソフトウェアベンダーKaseyaへの攻撃では、Kaseyaの多数のユーザー企業にも被害が広がった。この攻撃の標的になったリモート監視・管理ソフトウェア「Kaseya VSA」は中堅・中小企業を中心に導入が進んでおり、防御力が比較的弱い企業に被害が拡大した形だ。

　企業の規模による攻撃パターンの違いは、サイバー保険にも見られる。Cybereasonによれば、企業の規模が大きいほど、ランサムウェア攻撃を対象にするサイバー保険への加入率が低い。大企業は費用がかさみやすいことを理由に、サイバー保険そのものに加入しない傾向が背景にあるとCybereasonはみる。

　Cybereasonの最高セキュリティ責任者（CSO）サム・カリー氏によると、保険会社はランサムウェア攻撃に関する補償範囲を狭めるとともに、支払いの条件を厳しく設置している。企業は、簡単なチェックリストの記入だけでは契約できず、セキュリティ対策の実施状況を示す必要があるとカリー氏は言う。

　攻撃者は数百万ドルの身代金を支払える可能性が高い企業を“優先的に”攻撃しているとCybereasonはみる。1台のデバイスを感染させるよりも、標的のシステムを広範囲で感染させて高額の身代金を要求した方が、攻撃者にとっての高収益につながりやすいからだと同社は分析している。

---

　第4回は、ランサムウェア攻撃への備え方を紹介する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。