オープンテキスト㈱は11月8日、本体の米国OpenTextが実施し、10月にリリースした第3回目の年次調査「2024年グローバルランサムウェア調査」について発表した。
同社は同調査で身代金の支払い、ソフトウェア・サプライチェーン攻撃の影響、生成AI等、ランサムウェア攻撃の現状が明らかになったとしている。
同レポートによると、サプライチェーン攻撃は広範囲に及んでおり、回答者の62%が過去1年間にソフトウェア・サプライチェーンのパートナーを起点とするランサムウェア攻撃の影響を受けている。
資金力のあるサイバー犯罪者がソフトウェア・サプライチェーンを標的とし、生成AIを活用してフィッシング攻撃を拡大する事例が増えている。これにより、企業は進化するランサムウェアの脅威と攻撃を受けた際に負担する経済的なコストの上昇に対処するため、常に苦闘している。Verizonの「2024 Data Breach Investigations Report(2024年度 データ漏洩/侵害調査報告書)」によると、ランサムウェアとその他の恐喝的な侵害の組み合わせによる損失額は、95%のケースで3ドルから114万1,467ドルの範囲に収まり、その金額の中央値は4万6,000ドルだったと報告している。
●主な調査結果
○回答者は圧倒的にサプライチェーン攻撃を懸念している。今年、ランサムウェア攻撃を報告した回答者は、攻撃が自社のサプライチェーンから発生したとする傾向が強くみられた。
○回答者の40%は、ソフトウェア・サプライチェーンのパートナーから発生したランサムウェア攻撃の影響を受けたことがある、または分からないと答えた。
○過去1年間にランサムウェア攻撃を経験した回答者のうち、62%はソフトウェア・サプライチェーンのパートナーから発生したランサムウェア攻撃の影響を受けており、90%はセキュリティ対策の改善に向けて、今後1年間でソフトウェアサプライヤーとの連携を強化する予定。
○回答者の大部分(91%)は、自社の下流のソフトウェア・サプライチェーン、サードパーティ、および接続パートナーに対するランサムウェア攻撃を懸念している。
○Change Healthcare、Ascension、CDK Global等、主要な業界ベンダーによる最近の侵害事例により、業界特有の機能停止や損失が発生したことで、サプライチェーン攻撃の影響に対する懸念が高まったかという質問に対して、ほぼ半数の49%がベンダー変更を検討するほど懸念が高まったと回答している。
○過去1年間にランサムウェア攻撃を経験した企業を含む回答者の約4分の3(74%)が、自社のソフトウェアサプライヤーのサイバーセキュリティ対策を評価するための正式なプロセスを策定している。驚くべきことに、26%が策定していない、または分からないと回答している。
○今年は企業の約4分の3がランサムウェア攻撃を経験しており、大企業よりも中堅・中小企業の方が攻撃を経験した割合が高くなっている。
○過去にランサムウェア攻撃を経験した回答者(48%)のうち、73%が過去1年間でランサムウェア攻撃を経験している。過去1年間での経験はないと回答した割合は4分の1(25%)、分からないとした割合は2%に留まった。
○中堅・中小企業は大企業に比べてランサムウェア攻撃を経験した割合が高くなっている。過去1年間にランサムウェア攻撃を経験した割合は、中堅・中小企業が4分の3以上(76%)であるのに対して、大企業では70%となった。
○過去1年間でランサムウェア攻撃を経験した企業のうち、約半数(46%)が身代金を支払った。身代金の支払いの31%は、100万ドルから500万ドルの範囲だった。同時に、ほぼ全員(97%)が、自社データの正常な復旧に成功した。復旧できなかった割合は、わずか3%だった。
○AIの使用が増えたことで、特にランサムウェア攻撃を経験した回答者の間で、フィッシング攻撃が増加した。
○回答者の過半数(55%)は、脅威アクター(外部の攻撃者)によるAIの使用が増えたため、自社がランサムウェア攻撃を受けるリスクが高まっていると回答した。
○回答者の半数近く(45%)は、AIの広範な使用により、フィッシング攻撃が増加したと感じている。ランサムウェア攻撃を経験した回答者の69%は、AIの使用が増えたことで、フィッシング攻撃も増加したと感じている。
○企業は、クラウドセキュリティやセキュリティの意識向上トレーニングおよび、フィッシング・トレーニングへの投資を拡大し続けている。
○クラウドセキュリティは、企業が最も投資している(66%)と回答したサイバーセキュリティ分野。
○2024年には、中堅・中小企業の回答者の62%が、クラウドセキュリティへの投資を拡大している(2023年は56%)。2022年には、中堅・中小企業の回答者のうち、クラウドセキュリティ・ソリューションを使用していた割合はわずか39%だった。
○回答者の大部分(91%)は、企業が自社の従業員に対してセキュリティ意識向上トレーニングやフィッシング・トレーニングへの参加を義務付けていると回答した。こうした活動を行っていない企業は、わずか9%だった。2024年には、66%が少なくとも四半期に1度以上の頻度でトレーニングを実施した。
○2023年や2022年と比較すると、企業が従業員に対してセキュリティ意識向上トレーニングへの参加を頻繁に義務付けている。2023年に四半期に1度のトレーニングを実施したのは、わずか39%だった。2022年には、中堅・中小企業のわずか24%が、四半期に一度のセキュリティ意識トレーニングを実施した。
●調査方法
OpenText Cybersecurityは、2024年8月23日~9月10日の期間、米国、英国、オーストラリア、フランス、ドイツ、インドの中堅・中小企業(SMB)と大企業のCレベルの役員、セキュリティ専門家、セキュリティ/テクノロジー担当取締役1,781人に調査を実施した。回答者の業界は、テクノロジー、金融サービス、小売、製造、ヘルスケア、教育など多岐にわたる。