ESGリスクトピックス 2025年度 No.2

2024年は中小企業のランサムウェア被害が増加、警察庁報告書

警察庁サイバー警察局は2025年3月13日に「令和6（2024）年におけるサイバー空間をめぐる脅威の情勢等について」を公開した。同報告では、サイバー空間の脅威情勢と警察の取り組みについて取りまとめている。

ランサムウェア被害件数を組織規模別に2023年と比較すると、大企業の被害件数が減少する一方、中小企業の被害件数は37%増加した。これは、攻撃実行者の裾野の広がりが、対策が比較的手薄な中小企業の被害増加につながっている可能性があるとしている。

犯罪組織等によるランサムウェア攻撃の態様として、ランサムウェアの開発・運営を行う者が、攻撃の実行者にランサムウェア等を提供し、その見返りとして身代金の一部を受け取るRaaS（Ransomware as a Service）や、EC サイトのぜい弱性を悪用するなどにより窃取した標的企業のネットワークに侵入するための認証情報等を売買する者が存在することで、複数の関与者の役割分担が進んでいる。その結果、攻撃の実行者が技術的な専門知識を有する必要もなくなるなど、攻撃者の裾野の広がりがみられる。

ランサムウェアによる被害に遭った企業・団体等に実施したアンケートの結果によると、2023年に比べてランサムウェアの被害による事業影響は長期化・高額化しており、調査・復旧に１か月以上を要した組織（アンケート回答時に「復旧中」だった組織も含む。）は、44%から49%に増加している。また、1,000 万円以上の費用を要した組織は37%から50%に増加した。さらに、調査・復旧に「1,000 万円以上」かつ「１か月以上」を要した組織のうち、サイバー攻撃を想定したBCP（事業継続計画） を策定済みである組織は11.8%にとどまった。一方、１週間未満で復旧した組織の23.1%が同種のBCPを策定していた。

同アンケート結果によると、感染経路の8割がVPN やリモートデスクトップ用の機器からの侵入であり、ID・パスワード等が非常に安易であったことや、不必要なアカウントがきちんと管理されずに存在していたことなどが原因であった。実例として、海外支社等の機器を管理できていなかったためにそこから侵入され、国内の本社が被害に遭う事例や、試験的に作成したアカウントの安易な認証情報を利用されて侵入された事例が挙げられている。

同報告では侵入の実態調査や復旧対応を行う際のログの必要性を指摘している。ログが保存されていない場合、適切な対策を講じることができず、再び同様の攻撃への脆弱性が放置される可能性がある。日頃からのログの取得・保管やバックアップのオフライン環境での保管といった対策が求められる。

【参考】
警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」：https://www.npa.go.jp/publications/statistics/cybersecurity/index.html