企業に身代金を要求するランサムウェア攻撃で顧客や取引先を巻き込む手口が増えています。

業務システムを使えないよう暗号化するなど既存の3つの手法に加えることで脅迫が4重になるということです。

 

 

◆ランサムウェア４つの手口

 

①企業のシステムを暗号化して業務を止め、解除と引き換えに身代金を要求するもの

②奪った情報を暴露すると脅して身代金を要求する手口

③大量のデータを送りつけて被害企業のサイトやサービスを停止させる（DDoS攻撃）

④被害企業の取引先や顧客に攻撃を連絡し、脅迫する

⇒今年の春から④の手法による被害が目立っています！！

 

 

 

◆実際の被害の例

「写真撮影サービス会社をハッキングし、生徒の写真や個人データを入手した。公開されたくなければ、保護者達に企業への集団訴訟を起こさせろ」

今年3月、アメリカの学校に送り付けられたメールです。差出人は5月に米石油パイプライン最大手コロニアル・パイプラインを攻撃したランサムウェア集団「ダークサイド」です。被害企業のサービスを利用した学校を脅し、間接的に圧力をかける狙いだったと見られています。

 

 

 

こういったランサムウェアの攻撃を防ぐためにはセキュリティ対策が必須となります。

さらに、非IT部門の動きも重要と言われています。

攻撃を受けた際、原因究明などと並行し、データの重要性を営業や経理が測定し、取引先や株主への説明責任を迅速に果たす動きが重要です。顧客に被害内容やサービスの復旧見通し、2次被害の防止策などを伝えることも求められています。

攻撃側の手口が巧妙化しており、企業は被害時の組織全体の対応力まで問われています。被害に遭わない方が良いですが、仮に遭ってしまった場合の対応についても考えておくことが大切です。