ランサムウェア攻撃の趣旨は身代金を支払わせることにある。
そのため、標的となるのは攻撃の影響が最も大きいものになりそうな事業者――特に、重要インフラ機関、IT企業、テック企業、通信会社だ。機密データを破壊されたり広範囲にわたって削除されたりすれば影響が大きく広がるため、こうした事業者は身代金を支払う見込みが他よりも高い。

実際、3月末に米バラクーダネットワークスが公開したグローバル調査報告「2023 Ransomware Insights」 によると、2022年には重要インフラ機関の85%が少なくとも1回はランサムウェア攻撃を受けたと答えている。

「重要インフラは犯罪集団にとって魅力的な標的です。攻撃が成功すれば影響が大きいためで――影響が大きければ大きいほど多額の支払いをさせられる可能性が高まります」。バラクーダの製品マーケティングディレクター、Olesia Klevchuk（オレシア・クラフチュク）氏が述べている。

最も狙われやすいのは重要インフラ

調査対象となったのは、さまざまな業種の企業に勤める現場レベル～シニアレベルのIT担当者1,350名だ。2022年にランサムウェア攻撃を受け、成功されたことが1回以上あると答えたのは回答者の73％、2回以上と答えたのは38%となっている

また、調査では以下のこともわかった。

• エネルギー企業、石油・ガス企業、公益事業者の85%と、消費者サービス企業の98%がランサムウェア攻撃を1回以上受けている。
• エネルギー企業、石油・ガス企業、公益事業者では、ランサムウェア攻撃を2回以上成功されたという回答の割合が最も高い（53%）。
• IT企業、テック企業、通信会社の31％が1回、25％が2回の攻撃を受けている。
• 暗号化されたデータを復元するために身代金を支払った割合は、3回以上の攻撃を受けた事業者では42%、1回の攻撃を受けた事業者では31%だった。

「身代金を支払わなければさらに大きな損失を被りかねない、あるいは完全な廃業を余儀なくされかねないと考える向きもあります。事業者が支払いに同意するのはそのためです」とKlevchuk氏は言う

企業を標的としたランサムウェア攻撃の手口

侵入口として最も脆弱なのは現在もEメールで、調査対象企業の69％がEメールによってランサムウェア攻撃を受けている。

IT企業、テック企業、通信会社への攻撃では、Eメールが起点となったものが69%、WebトラフィックやWebアプリケーションが56%、ネットワークトラフィックが39%となっている。

エネルギー企業、石油・ガス企業、公益事業者への攻撃については、Eメールが78%、WebトラフィックやWebアプリケーションが54%、ネットワークトラフィックが60%だった。

ランサムウェア攻撃の影響が大きいほど多額の支払いに応じる傾向

こうした結果に加え、バラクーダでは以前にもインフラ関連のサイバー攻撃が4倍に増えたとする調査結果を出しており、サイバー犯罪集団が一次被害者にとどまらない大きな損害を与えようと意図していることが伺える。

「こうした業界にはできるだけ早く復旧させなければという大きなプレッシャーがあります。サイバー犯罪者に金銭を支払うことは、被害企業が取り得る手段の1つです」とKlevchuk氏。「ハッカーにしてみれば大金を要求することができるので、非常に魅力的な標的になっているのです」

最近では2021年に起きた米コロニアル・パイプラインへの攻撃が重要インフラに対する攻撃の最も良い例だろう、と氏は言う。影響は米国の東海岸全域に及び、同社は400万ドル（約5億2,700万円）を支払った。

「直接費、復旧費用、地域経済全体への影響に比べれば、400万ドルの身代金は小さなものです」

また、この事件はスパイ行為によるものではなかったものの、「システム・オブ・システムズの拡大によって許容しがたいリスクがもたらされる」ことも明らかになった、とバラクーダCTOのFleming Shi（フレミング・シー）氏がブログ記事に書いている。

2023年、ランサムウェア攻撃に備えずにいることはできない

業界を超えたさまざまな企業がランサムウェアの直接的な影響を既に感じているとなれば、各社は備えを講じていることと思うだろう。しかし同調査によると、回答企業の27%はランサムウェア対策の備えが十分にできていないと感じると答えている。

とはいえ、2023年には体勢を立て直した方が良いとShi氏は書いている。ランサムウェア集団が「以前よりも小規模かつスマートになっていく」ためだ。

氏の指摘によると、2022年に起きた「ブロックバスター攻撃」の背後にはLockBit、Conti、Lapus$などの大きなランサムウェア集団がいたという。しかし、RaaS（ランサムウェア・アズ・ア・サービス）が広まり、LockBit 3.0のビルドが最近流出したことで、2023年は「新世代の小規模かつスマートな集団が注目を集めることになる」という。

結果、新たな戦術によるランサムウェア攻撃の頻度が高くなる、と氏は述べている。

各企業・機関はランサムウェア攻撃について、いまや「あるかどうか」ではなく「いつあるか」の問題になっている、という考えに同意している。ユーザーに研修を提供し、十分に検証済のインシデント対応計画を用意し、データのバックアップを取りセキュリティを確保しても攻撃を完全に防ぐことはできないかもしれないが、サイバー攻撃のコストを大幅に削減することはできる、とKlevchuk氏は言う。

「あらゆる業界の事業者は、何よりもまず自社のデータの保護に投資をする必要があります」と氏。「ランサムウェアがこれほど蔓延し、成功を収めているのは、ほとんどの事業者がデータを十分に保護していないためです」

事業者はデータのバックアップ・復旧手段に投資し、全てのSaaSアプリケーションに対してWebアプリケーションセキュリティを導入し、Eメールにはフィッシング対策機能を導入して資格情報の漏えい防止に注力しなくてはならない、と氏は言う。さらに、多要素認証（MFA）とゼロトラストも重要だとした。

要するに、「自社のビジネスアカウントにハッカーが侵入しようとするのを防ぎ、ビジネスクリティカルなデータへの潜入を防ぐことです」と語った。

Ransomware Attacks Target Critical Infrastructure – And It’s Paying Off