5社中1社がデータにかけられた身代金を支払ったか、支払おうとしたことが判明 – タレス、世界17か国を対象とした調査を発表

そうなんだ。

マルウエアなどの攻撃にあった企業が要求された身代金を払おうとしたのが、なんと5社中1社もあるという調査結果。

驚きだね。

タレス、世界17か国を対象とした調査を発表
5社中1社がデータにかけられた身代金を支払ったか、支払おうとしたことが判明
タレスジャパン株式会社

• 世界中のIT部門責任者が、マルウェア、ランサムウェア、フィッシングがセキュリティ攻撃の主な発生源であると回答
• 正式なランサムウェア対応計画を有する企業は半数以下（48%、日本:48%）
• データ侵害の件数は高止まり状態で、約3分の1の企業（日本:35%）が過去12か月でデータ侵害を経験
• 企業の大半（79%、日本:80%）が依然として、拡大するリモートで働く従業員のセキュリティリスクを懸念
• IT部門責任者の51%（日本:52%）が、クラウド環境のプライバシーおよびデータ保護の法規制への対応がより困難になっていると回答

5社中1社がデータにかけられた身代金を支払ったか、支払おうとしたことが判明 – タレス、世界17か国を対象とした調査を発表

デジタルセキュリティの世界的リーダー企業であるタレスは、本日「2022年タレス・グローバル・データ脅威レポート」の調査結果を発表しました。マルウェア、ランサムウェア、フィッシングが引き続きグローバル組織に悪影響を及ぼしていることが判明しました。実際、5社中1社（21%、日本：25%）が昨年にランサムウェア攻撃を経験しており、そのうち43%（日本：34%）は、事業活動に甚大な影響を受けました。

ランサムウェア攻撃は、1980年代後半に初めて確認されたPC Cyborgウイルスを起源としており、ランサムウェアの身代金支払い方法として好まれる暗号通貨が台頭したこともあり、その頻度と影響は拡大しつつあります。今回の2022年タレス・データ脅威レポートはS&Pグローバルマーケティングインテリジェンスの一部門である451リサーチによって、世界2,700人以上のIT部門意思決定者を対象に行われましたが、実際、5社中1社（22%、日本:22%）が、データにかけられた身代金を支払ったか、支払おうとしたことがわかりました。それにもかかわらず、回答者の41%（日本:47%）は、ランサムウェアの影響が甚大である状況においてもセキュリティ支出を見直す予定はないと回答しています。
https://cpl.thalesgroup.com/ja/resources/encryption/2022/apac-data-threat-report

また、正式なランサムウェア対応計画を保有しているとした回答者は半数以下（48%、日本:48%）でした。正式なランサムウェア対応計画による対策が最も講じられている分野は医療（57%）で、最も対策が遅れている分野はエネルギー（44%）でしたが、どちらの分野でも過去12か月で深刻な侵害が発生しています。

データの可視性が課題
マルチクラウド戦略を採用する企業が増え、ハイブリッドワークが引き続き常態となる中で、IT部門責任者は、データが組織内で無秩序に広がることに伴う課題に引き続き苦慮しており、また、自社データのすべてを把握して特定することがより困難になっています。データの保存場所について非常に自信がある、あるいは、それを完全に把握していると回答したIT部門責任者は半数を少し上回る程度（56%、日本:57%）で、昨年の64%(日本:66%)を下回りました(*1)。また、自社のデータすべてを分類できていると回答した回答者はわずか4分の1（25%、日本:27%）でした。

脅威とコンプライアンスの課題
2021年を通して、セキュリティインシデントの数は高止まりが続いており、３分の１近く（35%、日本:35%）の企業が過去12か月で侵害を経験しました。また、IT部門責任者の半数近く（43%、日本:37%）が、コンプライアンスの監査で不合格になったと回答しています。

世界中のIT部門責任者は、マルウェア（56%、日本:63%）、ランサムウェア（53%、日本:50%）、フィッシング（40%、日本:29%）を増加のあったセキュリティ攻撃の主な発生源として挙げています。半数近く（45%、日本:40%）のIT部門責任者が、過去12か月でサイバー攻撃の量、重篤度、範囲が増大したと報告しており、これらのリスクに対応することが引き続き課題となっています。

クラウドで複雑性とリスクが増大
クラウド導入が進んでおり、回答者の3分の1以上（34%、日本:30%）が、50以上のサービスとしてのソフトウェア（SaaS）アプリを、18%（日本:16%）が100以上のSaaSアプリを使用していると回答しています。ただ、IT部門責任者の51%（日本:52%）が、クラウド環境のプライバシーおよびデータ保護の法規制に対応することが、組織内のオンプレミスネットワークでの法規制対応と比較してより困難になっていると回答しており、この数字は昨年の46%（日本:39%）から増加しています。

また、2022年データ脅威レポートでは、企業のデータをクラウドに保存しようとする動きが著しいことが示されています。自社のワークロードやデータの半分近く が外部のクラウドにあると回答した回答者は32%（日本:31%）、ワークロードやデータの60%以上が外部のクラウドにあると回答した回答者は4分の1（23%、日本:20%）でした。その一方で、企業の45%（日本:39%）が、クラウド環境での侵害や、監査の不合格を経験したと報告しています。

また、暗号化を使用して機密性の高いデータを保護している企業は少なく、機密性の高いデータの40%以上を暗号化していると回答した企業はわずか半数（50%、日本:44%）で、60%以上を暗号化していると回答した企業は5分の1（22%、日本:16%）でした。これは、企業にとって重大なリスクが継続していることの表れと言えます。

リモートワークの懸念
昨年も1年を通してリモートワークが主流でしたが、セキュリティリスクを回避することが企業にとっていかに難しいことであるかが判明しました。心配なことに、企業の大半（79%、日本:80%）が、リモートワークがもたらすセキュリティリスクや脅威に関して、いまだに懸念を抱いています。多要素認証（MFA）を導入したと回答したIT部門責任者はほぼ半数のみ（56%、日本:52%）で、この数字は前回の調査から変わっていません(*2)。

迫る脅威
ただ、今回のレポートでは、IT部門責任者が優先度の高いテクノロジーへの支出をきわめて多様化させていることも示されており、これは、複雑な脅威環境にIT部門責任者が本気で取り組んでいることを示唆しています。回答者33%（日本:23%）は、広範なクラウドセキュリティツールセットへの支出を最優先とすると回答しています。また、ほぼ同じ割合（31%、日本:39%）のIT部門責任者が鍵管理を優先していると回答しており、35%（日本:25%）はゼロトラスト(*3)が重要な戦略であると回答しています。

IT部門責任者はまた、差し迫る今後の課題にも気づき始めています。将来の量子コンピューティングのセキュリティ脅威は何かという質問に対し、回答者の52%（日本:59%）が、「その日のデータが次の日に復号される」ことを懸念していると回答しました。これは、クラウド環境の複雑化により、いっそう悪化する可能性のある懸念事項です。

タレスのクラウドプロテクション＆ライセンシング担当シニアバイスプレジデントのセバスチャン・カノ（Sebastien Cano）は次のように述べています。「パンデミックは、企業および個々人の日常に影響を及ぼし続けており、パンデミック以前の状態に“回帰”するという期待が薄れています。世界中のITチームは、いまだにデータ保護に関する課題に直面しています。より強靭なサイバーセキュリティ戦略を確立するために、企業に緊急のアクションが必要であることを当社の調査結果は示しています。アセット管理の課題に加え、攻撃対象領域は今後1年で広がるのが明白な中、企業が検出、保護、制御に基づく強靭なセキュリティ戦略を導入することは必要不可欠です」

タレスおよび451 リサーチは、2022年3月24日に開催したウェビナーで調査結果について詳細の解説（英語）を行いました。オンデマンドでご視聴いただけますので、登録ページにアクセスしてください。
https://cpl.thalesgroup.com/resources/webinars?commid=532645

2022年タレス・グローバル・データ脅威レポート
2022年タレス・グローバル・データ脅威レポートは、タレスの委託により2022年1月に行われた、世界的な451リサーチの調査に基づくもので、ITとデータセキュリティに責任や影響力を持つ2,700人以上の経営幹部が調査対象です。回答者は、オーストラリア、ブラジル、カナダ、フランス、ドイツ、香港、インド、日本、メキシコ、オランダ、ニュージーランド、シンガポール、韓国、スウェーデン、アラブ首長国連邦、イギリス、米国の17か国にわたっています。なお、日本の回答者は203人です。調査対象組織は幅広い業界にわたり、医療、金融サービス、小売、テクノロジー、連邦政府に重点が置かれています。職位は、CEO、CFO、最高データ責任者、CISO、最高データサイエンティスト、最高リスク責任者のCレベル幹部から、SVPやVP、ITアドミニストレーター、セキュリティアナリスト、セキュリティエンジニア、システムアドミニストレーターにわたっています。回答者の組織規模は幅広く、多くの組織の従業員数は500人から1万人です。
2022年タレス データ脅威レポートAPAC（アジア太平洋）版（日本語）のエグゼクティブサマリーはこちらからダウンロードいただけます。
https://cpl.thalesgroup.com/ja/resources/encryption/2022/apac-data-threat-report

1：2021年1月から2月にかけて行われた2021年タレス・データ脅威レポートのデータと比較。
2：2021年1月から2月にかけて行われた2021年タレス・データ脅威レポートのデータと比較。
3：ゼロトラストは、組織を保護するサイバーセキュリティに対する1つの戦略的アプローチであり、絶対の信頼関係を排除して、デジタルインタラクションの各ステージで検証を継続的に行います。

タレスについて
タレス（本社：フランス・パリ、Euronext Paris: HO）は、コネクティビティ、ビッグデータ、人工知能、サイバーセキュリティ、量子コンピューティングといったデジタルやディープテックのイノベーションに注力する先端テクノロジーのグローバルリーダーとして、社会の発展に向けた基盤形成により、誰もが信頼できる未来の構築を目指しています。
意思決定者への支援に注力するタレスは、防衛、航空、宇宙、陸上交通、デジタルアイデンティティ&セキュリティ市場に向けた製品・サービスの提供と共に、企業・団体・政府機関などあらゆる組織の重要性が高い業務遂行への貢献に尽力しています。
68カ国に8万1,000人の従業員を擁するタレスの2021年度売上高は、162億ユーロを記録しています。

タレスジャパンについて
タレスジャパンは1970年に日本拠点として開設されて以来、大企業から中小企業を含む500以上のサプライヤーとの連携によって事業を成長させています。タレスグループは、科学ならびに日本政府向け安全保障・防衛、航空宇宙、多岐にわたる国内企業・移動体通信業者（MNO）・銀行・政府・民間企業向けのデジタルアイデンティティおよびセキュリティに関わるソリューションの提供をはじめ、空間・輸送・多岐にわたる産業用アプリケーションなどの幅広い顧客ニーズに対応できる事業を展開しています。ソリューションとテクノロジーの両分野における強力なポートフォリオによって、顧客ならびにパートナーからの要望に応えながら、協働プロジェクトを推進しています。当社は、大規模プロジェクト参画によって積み重ねてきた実績と豊富な経験の蓄積によって事業を継続成長させています。東京を中心とする従業員は150名に上り、国内の企業・団体との連携を図りながら、世界的なニーズへの対応によって国内における存在意義を高めています。

以上

時々攻撃によって、工場の稼働を止めなければならなくなったとか、耳にしますよね。

そりゃあ、攻撃されればその復旧は大変な作業量となるだろうし、お金払って解決！みたいな発想もなくはないとは思うのだが、お金払ったからと言って、それをもとに戻してくれるとは限らない。

5社中1社がその対応を行おうとしたとのことだが、結局のところ、支払ったのは何社でその結果は？

っということは、なかなか出てこないのだろうね。

でもこんな対応じゃぁ攻撃は無くならないと思う。

minorus

電子機器が大好きです。
プログラムを書くのをお仕事としていたこともあるので、両方できる PIC や Arduino を使って、いろいろな（役にあんまり立たない）ものを作っています。
実は UNIX 関連のお仕事も長かったので、Raspberry Pi もお手の物なのですけれど、これから触る機会が多くなるのかなぁ。
ボチボチ行きますが、お付き合いください。
若いころの写真なので、現時点では、まだ髪の毛は黒くてありますが、お髭は真っ白になりました。
愛車の国鉄特急カラーのカスタムしたリトルカブで、時々、秋月電子通商の八潮店に出没します。