なぜ標的に？ランサムウェア攻撃が中小企業に集中する理由

サイバー攻撃の中でも凶悪な手法として知られるランサムウェアは、国内での被害報告が増加傾向にあります。その主な標的となっているのは中小企業であることはまだ広く認知されておらず、取り返しのつかない損失を被る前に、正しい対策を取らなければなりません。

中小企業はなぜランサムウェア攻撃の標的となりやすいのか、どんな対策が攻撃に対して有効なのか、確認していきましょう。

「潤う」ランサムウェア市場。攻撃件数と被害金額は2024年も増加

セキュリティ領域で活躍する、日本法人ウィズセキュアが2024年9月に発表したレポートによると、2024年上半期における国内外のランサムウェア攻撃は増加傾向にあると言います。2022年や2023年よりも攻撃の発生件数、そして身代金の支払額においても増加しているということで、未だ多くの対策課題が残されているのが現状です。

ランサムウェアの標的は中小企業が過半数

上記の調査で興味深いのは、ランサムウェア攻撃の標的となった企業の過半数は、従業員が200人以下という小規模組織であるという点です。2022年には50%だった中小企業を標的としたランサムウェア攻撃は、2024年には61%まで増加しています。

また、ランサムウェア攻撃を受けた企業を業界別に見ると、1位が製造・エンジニアリング業で20%を超え、2位の不動産・建設業が記録した9%を倍以上上回る結果になっています。

これらの調査結果は無論サイバー攻撃者にも共有されており、全体の傾向として製造業に携わっており、尚且つ小規模な事業者はランサムウェア攻撃を行いやすいターゲットとみなされていると考えるべきです。

どちらか一つ、あるいはその両方の条件に当てはまる企業は、早急にセキュリティ体制を見直す必要があります。

なぜ中小企業はランサムウェアの標的となりやすいのか

中小企業はその事業のスケールから、大企業に比べると一度の攻撃から期待できる身代金の要求金額は小さいように思われます。それでも大企業より中小企業が頻繁に攻撃を受けるのには、主に2つの理由が考えられます。

低いサイバー保険加入率

1つは、サイバー保険の加入率の問題です。サイバー保険は、企業がサイバー攻撃を受けた際に相応の補償を受けられるという保険商品ですが、日本における普及率は非常に低いものにとどまっています。

2020年に一般社団法人の日本損害保険協会が発表した結果によると、大企業におけるサイバー保険の加入率は9.8%である一方、中小企業では6.7%にとどまるなど、低い水準となっています。

2023年に行った調査では、以前よりもサイバー保険加入率が増えているというデータはあるものの、以前として中小企業は大企業よりも少ない割合であると見られるのが現状です。

進まないセキュリティ強化

2つ目の理由は、脆弱性の問題です。中小企業では十分なセキュリティ対策が行われておらず、最新のサイバー攻撃に対応できなくなっていることが懸念されます。

三菱UFJ銀行が2024年8月に発表した調査によると、中小企業における56.1%はウイルス対策ソフトの導入を実現しているものの、暗号化や認証管理といったその他の対策については10%に満たないか、少し上回る程度です。

高度なセキュリティ体制を敷く大企業とのセキュリティ対策におけるギャップが大きくなった結果、サイバー攻撃者も攻撃を行いやすい、中小企業へと標的を移行するようになっていったのでした。

このような知見が近年は攻撃者の間で広く共有され、中小企業は「優良顧客」としての地位を確立しつつあります。

ランサムウェアの「優良顧客」とならないための対策は？

ランサムウェア攻撃は、身代金の支払いに応じても解決するとは限らない問題です。それどころか、場合によっては身代金を支払った企業には、さらなる支払いを要求するケースもあるなど、再感染のリスクにも警戒しなければなりません。

中小企業の間で広く普及しているのは、アンチウイルスソフトです。しかし残念ながら、ランサムウェアを防ぐにはこの対策だけでは不十分です。

というのも、ランサムウェアはファームウェアに侵入してシステムを乗っ取る攻撃手法であり、アンチウイルスソフトはファームウェアより下流のOSレベル以下でしか対策を施せないからです。

ランサムウェアの脅威を退け、優良顧客とならないためには、従来のセキュリティ手法を刷新することが求められます。ファームウェア・ハードウェアレベルで攻撃を回避したり、素早く検知できたりする体制を整え、攻撃を受けた際にも損失を最小限に抑えられる仕組みづくりを進めるべきでしょう。