第5回　DXの敵！米小売流通業界はランサムウェアとどのように戦っているのか？

Tweet

Pocket

デジタル化でビジネスを変革するデジタルトランスフォーメーション（DX）はデータインフラで成立していると言っても過言ではない。小売においては、ECサイト運営、店舗POS、決済インフラ、供給網管理・EC配送手配、顧客の嗜好解析とおススメ提案など、ビジネス改革の推進がデータ集積に依存している。だが近年、小売流通企業のシステムに侵入し、ライフラインであるデータを暗号化して人質にとることで、巨額の身代金を要求するランサムウェア攻撃が世界で急増中だ。小売DXにどのような悪影響があり、また小売チェーンはどのような対策を講じているのか。

狙われる小売企業
表面化は氷山の一角

　DXが進む米小売業界では、ビッグデータに対する依存度が増している。データ統合・分析・加工こそがDXの肝であり、その急所を突かれれば、必須のデータ回復のため、身代金を支払わざるを得ない弱みがあるのだ。

　こうした中、ランサムウェア対策に特化したセキュリティ企業であるCovewareは、「小売企業が、身代金要求型のサイバー攻撃の対象となる事例が急増している」と警鐘を鳴らす。また、NTTセキュリティが米市場向けに発表した英語の報告書は、「小売業の複合性や複雑性は、攻撃者のターゲットになりやすい」と分析した。

　事実、2021年7月には、ロシア系のランサムウェア犯罪集団であるREvilが、サーバーやレジなどのリモート監視・管理向けVSAソフトウェアを提供する米ITベンダーのKaseyaの脆弱性を攻撃。Kaseyaのサービスを利用する川下企業1500社超のデータが影響を受けた。その中でも、スウェーデンの生鮮チェーンCoopはデータが暗号化されて800の全店舗でレジが機能しなくなり、各店におけるレジシステムの交換などの間、数日間営業停止に追い込まれた。これは、ランサムウェア攻撃被害が表面化した氷山の一角に過ぎない。

　セキュリティソフトウェアおよびハードウェアを開発・提供するSophosが小売435社に行ったアンケート調査によれば、①2020年に回答者小売企業の44%がランサムウェア攻撃を受け、②そのうち54%でデータが暗号化されてしまい、③データが暗号化された小売企業の32%が平均約15万ドル（約1700万円）の身代金を支払ったという。

　身代金を支払った企業の67%がデータを復号できたが、残りは支払いにもかかわらず、データを回復できなかった。さらに、営業ストップ・復旧関連人件費・機器入れ替え・逸失商業利益などで、成功した攻撃1件につき平均約200万ドル（約2億7176万円）のコストがかかるなど、収益に悪影響を与えている。

　状況は今年に入りさらに悪化している。サイバー保険を提供する独保険大手Allianzの2021年前半の報告書によれば、ランサムウェア犯罪者たちは小売を含む被害企業に平均530万ドル（約6億200万円）の身代金を要求。サイバーセキュリティ大手Palo Alto Networksによれば、身代金の平均支払い額も2020年前半の31万2000ドル（約3544万円）から、2021年前半には57万ドル（約6475万円）に急増している。

　こうした状況下で、米小売業界はブラックフライデーやクリスマスを含む年末商戦に突入しており、書き入れ時にランサムウェア攻撃を受けて、データ統合・分析・加工に支障が生じれば、DXそのものが後退を迫られかねない。