警察庁が公開した統計資料「令和6年におけるサイバー空間をめぐる脅威の情勢等について」によると、令和6年におけるランサムウェアの被害報告件数は222件にのぼり、高水準で推移しています。大企業の被害件数は減少傾向にある一方で、中小企業の被害は前年比で約37%増加しており、対策が十分に講じられていない中小企業が攻撃対象となる傾向が強まっています。
被害が拡大する要因のひとつに「RaaS(Ransomware as a Service)」と呼ばれる攻撃手法の普及が挙げられます。これは、ランサムウェアの開発者が攻撃ツールを他者に提供し、身代金の一部を受け取る仕組みです。専門的な知識がなくても、提供されたツールを使えば簡単に攻撃できるため、結果として中小企業などの脆弱な組織が狙われるリスクが高まっています。
また、被害の長期化・高額化も深刻化しています。復旧に時間がかかるほど費用も増加する傾向がみられ、復旧までに1か月以上を要した組織や、1,000万円を超える費用が発生したケースも確認されています。復旧に「1か月以上かつ1,000万円以上」を要した組織では、サイバー攻撃を想定したBCP(事業継続計画)を策定していた割合が約12%にとどまったのに対し、1週間未満で復旧できた組織では約23%が同様のBCPを策定しており、事前準備の有無が復旧の迅速さに影響する可能性が示唆されています。
主な侵入経路は、VPNやリモート接続機器の脆弱性、不審なメールの添付ファイルやURLなどです。これらへの対応として技術的な対策は欠かせませんが、それだけでは防ぎきれないケースも増えています。そのため、実践的な訓練を通じて、現場で「気づき・判断・行動」できる力を高めることが、組織全体の被害抑止につながります。
【引用】
