　事態の深刻化は実態調査にも表れている。電子メールセキュリティ対策を手掛けるMimecastが各国の企業のセキュリティ担当者などを対象に実施した調査では、2020年にランサムウェアの被害に遭ったという回答が全体の61％に上り、前年より20ポイント増えた。「2021年もランサムウェアの年になる」と同社は警告する。

2021年もランサムウェアの年になる

　被害に遭った企業がダウンタイムに見舞われた期間の平均は、前年の3日間から2020年は6日間に延び、1週間以上にわたった企業も37％を占めた。被害額も増大する一方で、あるサイバー犯罪集団は大手コンピュータメーカーに対して5000万ドル（約55億円）を要求したと報じられているという。

　攻撃された企業のうち身代金の要求に応じたのは52％。しかしデータを取り戻すことができたのはそのうちの66％にとどまり、残る34％は身代金を支払ってもデータを取り戻すことはできなかった。

　英セキュリティ企業Sophosが世界30カ国の中堅組織を対象に実施した別の調査によれば、身代金を支払ってデータを全て取り戻すことができた組織はわずか8％のみで、29％はデータの半分も戻って来なかった。

　こうした攻撃が増えたのは、在宅勤務への切り替えに伴って電子メールやコラボレーションツールの使用が増えたことによるとMimecastは分析する。ランサムウェア以外にも、コロナ禍に便乗した詐欺メールでだまそうとする攻撃が増え、手口は巧妙化している。回答者の43％は従業員の無知や無防備さを最大級の弱点として挙げた。

　在宅勤務で普及したVPNなどの脆弱性を狙うランサムウェアや、Microsoft Exchange Serverの脆弱性を突くランサムウェアも出現している。攻撃の手口は被害者のデータを暗号化するだけでなく、盗んだデータを暴露すると脅す二重の脅迫へとシフトつつあり、対策は一層難しくなっている。

　最近では米ワシントン首都警察がランサムウェア攻撃を受け、個人情報を記録した人事ファイルを盗まれる事件が発生した。「Babuk」と呼ばれる集団は盗んだ情報のスクリーンショットを公開して、身代金支払いの要求に応じなければ盗んだデータをネットで暴露すると脅迫しているという。

　報道によると、相次ぐ被害を受けて米司法省はランサムウェアの根絶を目指す独自のタスクフォースを新設し、今年を「ランサムウェア攻撃の最悪の年」と位置づけて、対策に本腰を入れ始めた。

　民間企業だけでなく警察でさえも防ぎ切れないランサムウェアの影響は、コロナ対応に追われる病院や自治体、公共インフラなど広範に及ぶ。Sophosは攻撃されることを前提とした対策を促し、「業種や国、組織の規模を問わず、このリスクと無縁でいることはできない。備えはあったが攻撃は受けなかったという方が、その逆よりはいい」と指摘している。