(写真はイメージ:写真AC)

2020年はサイバーリスク・エクスポージャの大きく変化した一年となった。 脅威ももちろん進化しているが私たちのITへの依存度も高まり、それに呼応するかのようにサイバーリスクの影響度も高まっている。サイバーリスクと向き合う上で何が必要なのか、今回はいま一度確認していきたい。

身代金以外による解決

2020年もランサムウェア(身代金要求型マルウェア)によって、多くの企業が甚大な被害を被った一年となった。

前々回では、ランサムウェア被害によって人命までもが奪われたことについて述べたが、引き続き企業における金銭的なダメージも大きく、米セキュリティー会社の調査(*1)によると世界平均で110万ドル(およそ1.2億円)もの身代金を支払って企業は解決を試みてきた。

ランサムウェアに感染した企業の75%では最新のエンドポイント保護を実行していたというデータ(*2)があることからも、もはや被害に遭わないということそのものが相応の難易度を求めている。

しかし、サイバー攻撃やサイバー犯罪などの行為は、反社会勢力やテロリスト認定を受けた組織が行っていることもあるため、金銭を伴った解決はコンプライアンス上の問題を招くことからも推奨されてはいない。

また、米国財務省外国資産管理局(OFAC)は10月、金融機関をはじめとした組織に対して、そのような行動が「将来のランサムウェアを助長する」と警告する勧告(*3)を発行しており、OFACは特に制裁リスト入りしているサイバー犯罪者やその活動に対して財政的、物質的または技術的支援を実質的に支援、後援、または提供する者には制裁を科す可能性もある。

そのため、身代金の支払い以外による解決を、企業は目指していかなくてはならない。