中小企業がサイバー犯罪者による攻撃を受けることはないというのはよくある誤解ですが、残念ながら、悪意のある業者が差別することはありません。Veeamの『2023 データプロテクションレポート』によると、ランサムウェア攻撃の85%が中小企業を標的にしています。
中小企業に対するランサムウェア攻撃の結果は深刻であり、ランサムウェア攻撃を受けている間、ほとんどの中小企業は通常の運営を行うことはできません。また、インシデント対応計画を策定していない中小企業も多く、策定している企業であっても、その3分の1近くが6か月間にわたって計画をテストしていませんでした。さらに、データへのアクセスを取り戻すために、身代金を支払わざるを得ないと報告している中小企業も高い割合を占めています。
データの復元にかかるコストとビジネスの中断によるコストの高さから、中小企業の最大60%がサイバー攻撃後に倒産しているとの報告もあります。
中小企業へのランサムウェア攻撃に関するこうした統計データは憂慮すべきものですが、サイバー回復力の確立に真剣に取り組み、サイバー攻撃への対策を整えている企業であれば、被害を最小限に抑えることができます。今回は、自社の脆弱性を評価する方法や、ランサムウェアから身を守るために何をすべきか、身代金を支払わずに攻撃から復旧する方法など、実践的なヒントをお届けします。
主な手順には、ランサムウェア対応計画を導入し、企業が手頃な価格のバックアップ計画を備えることが含まれます。さらに、セルフサービスの復元に使用できる、イミュータブルな(書き換え不能な)バックアップをオフラインで維持することで、保護をさらに強化できます。
中小企業向けのランサムウェアについて
サイバー犯罪者は、中小企業の予算やITリソースが限られていることをよく理解しています。サイバー犯罪者は、中小企業(SMB)にはデータ復元に関する選択肢があまりないと考え、こうした情報を悪用して中小企業を恐喝します。
中小企業を標的とするランサムウェア
ランサムウェアとは、サイバー犯罪者がユーザーのコンピューターをロックして、ユーザーがファイルや企業のシステムにアクセスできないようにするマルウェアです。多くの場合、ハッカーはファイルを暗号化して、ユーザーが復号化キーなしにファイルにアクセスできないようにします。また、被害者である企業に身代金を支払わせるための圧力として、企業のプライベート情報や機密情報の公開をほのめかして脅迫することもよくあります。
残念ながら、身代金を支払ったからといって攻撃が終わるとは限りません。実際のところ、Veeamの『2023ランサムウェアトレンドレポート』によると、ランサムウェア被害者の80%は身代金を支払ったものの、その25%はデータを復元できませんでした。
サイバー犯罪者がよく使う手口
サイバー犯罪者は、さまざまな戦術を使用して、被害者のコンピューターをマルウェアに感染させます。中小企業に対する最も一般的なランサムウェア攻撃の形態は次のとおりです。
フィッシング:ユーザーを騙してパスワードやログイン情報を入力させる詐欺メールやテキストメッセージ。
悪質なメールの添付ファイル:マルウェアを含む添付ファイル付きのメール。
ドライブバイ攻撃:感染したWebサイトからダウンロードされたマルウェア。
ソフトウェアの脆弱性:パッチ未適用のサーバーの脆弱性を利用して、コンピューターシステムにアクセスする。
ランサムウェア攻撃が中小企業に及ぼす影響
ランサムウェア攻撃の成功は、中小企業に壊滅的な結果をもたらします。中小企業は人材と予算の面でリソースが限られているため、ほとんどの場合は一時的にでもビジネスを中断する余裕はありません。その他の課題としては、風評被害や法的・規制措置の可能性などが挙げられます。
財務的な影響
中小企業は、身代金の支払いによる直接的なコスト以外に、復元にかかる多額のコストにも対応しなければなりません。これには、収入の損失、ランサムウェアを特定して削除するサイバーセキュリティ専門家の雇用コスト、セキュリティを強化するための支出などが含まれます。しかも、結局のところ、サイバー犯罪者に暗号化されたデータを企業が復元できるという保証もありません。『 2023ランサムウェアトレンドレポート』 の統計によると、ランサムウェア攻撃の影響を受けた本番データの消失率は、平均で15%にのぼります。
風評被害
企業がランサムウェア攻撃を受けると、その顧客やサプライヤーの信用はすぐに失われてしまいます。特に、ハッカーによって企業の機密データが漏えいした場合などはなおさらです。攻撃を受けた後は常に疑念がつきまとい、場合によっては、企業が安全なデータ保護システムを導入していなかったことで、企業にも何らかの過失があったのではないかという正当な疑念も生じます。こうした信頼の喪失による直接的な結果として、中小企業は脆弱であると感じ始めた顧客が取引を他の企業に移すことが挙げられます。
法的および規制上の結果
管轄区域と違反の程度によっては、企業は規制当局から次のような複数の罰則に直面する可能性があります。
コンプライアンス違反または不十分なデータ保護に対する罰金。
個人訴訟または集団訴訟の形での法的措置。
侵害の原因と範囲に関する規制当局による調査。
データの脆弱性に対する是正措置の一環としての修復コスト。
また多くの場合、企業は、データ侵害を規制当局に報告し、影響を受ける可能性がある当事者に通知することを求められています。しかしこれは、データ侵害が発生した際に、ブランドの評判への悪影響を一層深刻化させるだけです。
中小企業の脆弱性
中小企業は、GDPの40~50%を占めています。米国では、企業の99.9%以上が中小企業です。起業家精神にあふれたアプローチを採用するほとんどの中小企業は、自己資金を調達する個人所有の会社であり、その経営チームは小規模です。そのため、次のようないくつかの理由で、サイバー攻撃に対してより脆弱になります。
ITの専門知識が限られている:多くの中小企業は自社のITシステムの開発をベンダーに依存しており、専任のITチームを持つ中小企業は比較的少数です。専任のチームが存在する場合でも、サイバーセキュリティに関する知識が不十分であることが多々あります。
予算の制約:中小企業はリソースが限られており、複雑なサイバーセキュリティ対策に費やす資金もありません。
セキュリティギャップ:中小企業のIT管理チームは、ゼロトラストやマルチファクター認証(MFA)、ディザスタリカバリ(DR)計画といった概念を実装するための専門知識を備えていないことがほとんどです。
バックアップ:多くの中小企業は、「3-2-1」バックアップルール、特にバックアップを暗号化して、複数のコピーをオフラインや別のシステムで維持するという要件を満たしていないか、それ自体を理解していません。
ランサムウェアから中小企業を守る方法
中小企業向けのランサムウェアからの保護は、3つの異なる層からなる多面的なプロセスです。1つ目は侵入を防ぐためにネットワークを強化して攻撃を防ぐこと、2つ目はバックアップと復元のプロセスを導入すること、3つ目はインシデント対応計画を導入することです。主なステップは次のとおりです。
従業員意識向上トレーニング:潜在的なサイバー脅威を認識して対処するためのトレーニングを従業員に提供して、ハッカーがさまざまな手口で従業員を騙し、ログイン情報やセキュリティ資格情報を取得しようとすることについて説明します。最も一般的な手口はフィッシングですが、ほかにも従業員を騙して悪意のあるポップアップをクリックさせたり、感染したソフトウェアをダウンロードさせたりする手口などがあります。
サイバーセキュリティ対策:ビジネスのための一貫したサイバーセキュリティ戦略を策定します。サイバーセキュリティのベストプラクティスには、強力な認証とアクセス制御、ネットワークセキュリティ、データ暗号化、エンドポイント保護などが含まれます。
バックアップと復元計画:効果的なバックアップと復元計画を策定し、定期的にバックアップして複数のバックアップを維持します。オフラインまたは仮想マシン(VM)でバックアップ復元プロセスをシミュレートすることで、バックアップに対してマルウェアのスキャンを行い、それらを検証します。また、バックアップは常に暗号化するようにします。
インシデント対応計画:インシデントの発生時に従うべき手順を定めた包括的なランサムウェア対応計画を用意します。サイバーセキュリティインシデントをシミュレートして計画をテストおよびレビューし、各チームメンバーがサービスの封じ込め、根絶、およびリストアにおける自分の役割を認識していることを確認します。
コラボレーティブなランサムウェアソリューション
今日の最新インフラストラクチャの複雑さを考えると、小規模なIT部門を持つ中小企業がすべてのサイバーセキュリティ脅威を追跡することは非常に困難です。ただし、他の企業や業界団体、セキュリティプロバイダーのITスペシャリストや経営陣とのつながりを築くことで、そうした課題をほぼ克服することができます。
情報共有ネットワーク
自社のITチームには、ビジネス関係のある企業を含め、同じ地域にある他社のITマネージャーとつながりを構築するよう推奨してください。サイバーセキュリティについて話し合い、経験と知識を互いに共有できるタスクグループや会議を設定しましょう。
業界や政府のサイバーリソースとの連携
業界団体に参加して、サイバーセキュリティの問題に関する継続的な洞察を得ることができます。例としては The Cyber Threat Alliance、 National Cybersecurity Alliance、 Center for Internet Securityなどがあります。連邦政府のリソースには、FBIのInternet Crime Complaint Center(インターネット犯罪苦情センター)や、NISTのSmall Business Cybersecurity Corner(中小企業向けのサイバーセキュリティコーナー)などがあります。
サイバーセキュリティプロバイダーとの提携
サイバーセキュリティサービスプロバイダーに相談し、サイバーセキュリティ分析を実施してもらい、セキュリティのギャップを特定してもらいましょう。セキュリティサービスプロバイダーとの契約を通じて、セキュリティと監視のソフトウェア、インターネットエチケットについての従業員トレーニング、ランサムウェア攻撃に遭った場合のサポートサービスを提供してもらいましょう。
規制コンプライアンスの確保
EU域内に所在する中小企業、またはEU域内で事業を展開する中小企業は、EUの一般データ保護規則(GDPR)に準拠する必要があります。これらの要件ではデータ保護とデータセキュリティを厳しく規制しており、サイバー盗難によって公開されたデータを含むデータ侵害に対しては、重大な罰則が課せられる可能性があります。
米国の場合、一般的または普遍的なデータ保護法は存在しませんが、データ侵害に対しては現行の多数の法律によって罰則が課せられる可能性があります。こうした法律には次が含まれます。
HITECH(経済的および臨床的健康のための医療情報技術に関する法律)
HIPAA(医療保険の携行性と責任に関する法律)
運転者プライバシー保護法
財務プライバシー権法
これらの法律の多くは、データを保護し、データ侵害を報告するための特定の要件を組み込んでおり、厳しい罰則が課される場合があります。いくつかの州では、次のような厳格なデータ保護法があります。
カリフォルニア州プライバシー権法
バージニア州消費者データ保護法
コロラド州プライバシー法
ニューヨーク州ハッキング防止および電子データセキュリティ改善法
イリノイ州生体情報プライバシー法
要するに、米国の場合、中小企業にはデータ盗難や紛失を防ぐための積極的な措置を講じる義務があり、これを怠ると、当局からの罰金や被害者からの訴訟につながる可能性があります。
中小企業のランサムウェア事例
ランサムウェアがビジネスに与える影響を示す、中小企業のケーススタディを3つご紹介します。
St. Margaret’s Health:イリノイ州スプリングバレー
2021年、スプリングバレー セント・マーガレット・ヘルス病院 に対するランサムウェア攻撃が、同病院の閉鎖に至った転換点となりました。この攻撃は病院の請求システムに影響を及ぼし、メディケイドやメディケアなどの医療保険会社に医療費請求を提出できなくなりました。システムのリストアには数か月を要し、COVID-19パンデミックの影響を受けて困難な状況にあった同病院は、ランサムウェア攻撃による損失により、財政的に破綻する一歩手前まで追い詰められました。
トロント図書館システム
2023年10月、トロント公共図書館のシステムがランサムウェア攻撃を受けて、サービス全体が停止しました。同図書館は身代金の支払いを拒否しましたが、バックアップがなかったため、図書館内の限定されたサービスをリストアするのに数週間かかり、オンライン図書館はいまだ利用できません(2024年初頭のサービス再開を予定しています)。
教訓
上記の4つの例は、ランサムウェア戦略を導入することでSMBにもたらされる違いを一目示しています。成功した復元では、組織は比較的迅速にランサムウェアを検出し、汚染されていないバックアップを利用できたため、復元は迅速でした。上記の他の2つのインシデントではバックアップが利用できず、システムの再構築にかかる時間の長さによって運用に深刻な影響が及び、サービスの完全停止や一時停止につながりました。
Veeamを活用した中小企業の保護
統計によると、中小企業はランサムウェア攻撃の絶好の標的です。その一因として、中小企業は大企業と同レベルのITセキュリティを備えていないため、中小企業は倒産するリスクよりも身代金の支払いを選ぶ傾向にあることが挙げられます。
個人情報や機密データが漏洩して公開された場合、中小企業は、ランサムウェア攻撃による直接的なコストに加えて厳しい罰則にも直面します。これが、企業が常に自社のデータを暗号化して保護すべき理由です。ハッカーや攻撃者にデータが盗まれると、復号化キーなしにそれらにアクセスできなくなります。ランサムウェア攻撃に対抗できるには、強力なサイバー防御と書き換え不能なバックアップが必要です。サイバー回復力の確立はもはや選択肢ではなく、必要不可欠なものです。
ビジネスを失うことがないようにしましょう。中小企業向けのVeeam バックアップソリューションでデータを保護しましょう。