サイバーセキュリティ事業を営むSophosは2024年5月28日に報告書を発表し(注1)、製造業を狙ったランサムウェア攻撃の数と、攻撃に関連する身代金の支払額を明らかにした。
製造業が狙われる理由とは
製造業に分類される企業のうち、65%が2023年にランサムウェア攻撃を受けた。これには理由があるのだという。
製造業に対するサイバー攻撃は広範囲にわたる。例えば家庭用品や化学製品の製造するCloroxは、2023年8月に起きた大規模なサイバー攻撃によって業務が中断し、長期にわたって顧客に十分な量の製品を提供できなかった(注2)。同社は攻撃を受けた結果、4900万ドルの費用が発生し(注3)、現在も復旧作業が続いている。企業はこれほどの負担を予想しなければならなくなった。
Sophosのジョン・シーア氏(脅威インテリジェンスを担当するフィールドCTO《最高技術責任者》)は、「大半のランサムウェア攻撃は状況に応じて標的を決める。製造業に対する攻撃は抵抗が少なく、成功率が高い」と述べた。
成功率が高いというのはどのような意味だろうか。Sophosによると、製造業は他の業種と比較して身代金を支払う企業が多く、62%に達した。2023年には身代金を支払った業種として、エネルギー・石油・ガス業界と並んで上位2位を占めた。
Sophosによると、身代金を支払った製造業の企業の割合は、2022年には全業種の中で最も低かったが、2023年に急増した。身代金を支払った製造業の企業の割合は、2022年には34%だったが2023年にはその1.8倍の数字に達した。
さらに2023年には身代金の支払額も急増した。攻撃を受けた後、すぐに身代金の要求を受けた企業のうち、5社に3社は少なくとも100万ドルを要求された。製造業における身代金の平均支払額は2023年に88%増加し、約240万ドルに達した。
2023年に起きたランサムウェア攻撃で製造業が被った被害は身代金だけではない。他にも大きな財務的影響を受けた。2023年の平均復旧費用は約170万ドルであり、2022年の金額から55%増加した。
Sophosの報告書は調査企業のVanson Bourneによる調査に基づいている。2024年1〜2月に米国や欧州、中東、アフリカ、アジア太平洋地域における従業員5000人以下の製造業のITおよびサイバーセキュリティのリーダー585人を対象に調査を実施した。
出典:Ransomware attacks hit manufacturing hard in 2023(Cybersecurity Dive)
注1:The State of Ransomware in Manufacturing and Production 2024(SOPHOS NEWS)
注2:Clorox warns of product shortages a month after disclosing cyberattack(Cybersecurity Dive)
注3:Clorox lowers sales outlook as recovery from 2023 cyberattack continues(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
サイバーセキュリティの責任はソフト開発企業にあり
サイバーセキュリティの責任をソフトウェア開発企業に責任を負わせる動きが進んでいる。だが、どんなに努力してもある程度の脆弱性は残るだろう。開発企業の責任はどうなるのか。
重要インフラ企業がサイバー攻撃を受ける 次に何が起こるのだろうか
産業用制御システムやセキュリティシステム、空調機器を製造するジョンソンコントロールズがサイバー攻撃を受けた。重要インフラ企業が攻撃されるとなぜ危険なのだろうか。
サイバー攻撃が狙う「製造業」×「オープンソース」、防御は十分なのか
「Apache Log4j」を狙った攻撃は政府や大手IT企業の危機感を高めた。2023年に至っても対策が不十分な状態にある。現在は製造業、特に産業用制御システムが危険なのだという。オープンソースソフトウェアのセキュリティ対応が問題になっている。
ランサムウェアグループに政府が反撃 被害に遭った組織は立ち直れるのか
さまざまな企業や重要インフラを攻撃していたランサムウェアグループを政府が攻撃し、グループのインフラをシャットダウンした。だが被害に遭った組織はどうやって立ち直ればよいのだろうか。