サイバー攻撃への防御能力は
日本は決して低くはない

松原さんPhoto by Hasegawakoukou

松原 一方、日本の場合、ランサムウェアに感染したと答えた国内の組織は5割であり、そのうち身代金を支払った割合はわずか2割にすぎません。

 主要国の組織の大半がランサムウェアに感染し、しかもその多くの被害組織が身代金を払っているのに対し、日本は、被害を抑え、身代金もほとんど払っていない。しかも、日本では、身代金を払う率が毎年減ってきています。

 世界中でこれだけ懸案が広がっているランサムウェアの被害の実態を見る限り、諸外国と比較して、日本のサイバー攻撃への防御能力は決して低くはないのです。

田中 諸外国はそんなに身代金を払っているのですか。

松原 もちろん、払わないで、バックアップデータを使って業務復旧できれば、それに越したことはありません。しかしデータのバックアップを取っていない場合、また特に患者さんの命を預かっている病院の場合、難しい経営判断を迫られます。世界では、攻撃を受けた病院の4分の1が払っているのです。

 治療に必要な医療データベースがすべて暗号化されてしまい、読み取れなくなると、今この瞬間に患者に行うべき処置もわからなくなってしまいます。どういう病気を患っているのか、どういう薬や手術がいつ必要なのか、見当がつかなくなり、患者を死なせてしまうかもしれない。病院が究極の選択を迫られることがわかっているからこそ、ランサムウェア攻撃者は医療機関を狙うのです。

長谷川 たしかに、そこまで切羽詰まった状況になると、判断が難しいですね。身代金の額はどのくらいなのですか?

松原さんと慶子さんPhoto by HasegawaKoukou

松原 大企業の場合は数億円、中小企業では数百万円くらいのようですね。

田中 相手を見て値段を変えるのですね。

松原 それはもう、ハッカー集団からしたら純然たるビジネスですからね。対象企業の収益を事前に調べて、そこから払える額を算出しているようです。

 ランサムウェア攻撃集団は、企業のように組織だっており、人事担当もいます。「成果」を上げた人は月間優秀社員賞をもらえることもあると聞いています。

田中 表彰されても人に自慢できない(笑)。

松原 ただ、働き方は相当な「ブラック」のようです。下働きの人たちは劣悪な労働環境に置かれており、リモートワークですが常時監視されていて、ネットがオフラインになると上司に怒られたりして「もういやだ」「給与が上がらない」と文句を言っているそうです。

長谷川 ブラックな世界の、ブラック企業ですね。年々、日本では身代金を払う率は減ってきているとのことで、理由は何でしょうか?

松原 プルーフポイントの報告書には、その理由について書かれていません。ただ、英国のサイバーセキュリティ企業のSOPHOS(ソフォス)の調査では、身代金を払っても、すべてのデータを復旧できたケースはたった4%だったそうです(※)。
SOPHOSによる2021年の調査によると、2020年は8%だったのが、2021年には4%にまで落ち込んだ

 たとえ払っても業務復旧できないかもしれない。しかも払ったお金がまた次の犯罪の資金になってしまいます。そうした事実が周知されていることもあると思います。

長谷川 最後の質問です。私のような、サイバーセキュリティが専門ではない一般人は、サイバー攻撃への対策として、職場で何かできることはあるのでしょうか?