第5回 DXの敵!米小売流通業界はランサムウェアとどのように戦っているのか?
デジタル化でビジネスを変革するデジタルトランスフォーメーション(DX)はデータインフラで成立していると言っても過言ではない。小売においては、ECサイト運営、店舗POS、決済インフラ、供給網管理・EC配送手配、顧客の嗜好解析とおススメ提案など、ビジネス改革の推進がデータ集積に依存している。だが近年、小売流通企業のシステムに侵入し、ライフラインであるデータを暗号化して人質にとることで、巨額の身代金を要求するランサムウェア攻撃が世界で急増中だ。小売DXにどのような悪影響があり、また小売チェーンはどのような対策を講じているのか。
狙われる小売企業
表面化は氷山の一角
DXが進む米小売業界では、ビッグデータに対する依存度が増している。データ統合・分析・加工こそがDXの肝であり、その急所を突かれれば、必須のデータ回復のため、身代金を支払わざるを得ない弱みがあるのだ。
こうした中、ランサムウェア対策に特化したセキュリティ企業であるCovewareは、「小売企業が、身代金要求型のサイバー攻撃の対象となる事例が急増している」と警鐘を鳴らす。また、NTTセキュリティが米市場向けに発表した英語の報告書は、「小売業の複合性や複雑性は、攻撃者のターゲットになりやすい」と分析した。
事実、2021年7月には、ロシア系のランサムウェア犯罪集団であるREvilが、サーバーやレジなどのリモート監視・管理向けVSAソフトウェアを提供する米ITベンダーのKaseyaの脆弱性を攻撃。Kaseyaのサービスを利用する川下企業1500社超のデータが影響を受けた。その中でも、スウェーデンの生鮮チェーンCoopはデータが暗号化されて800の全店舗でレジが機能しなくなり、各店におけるレジシステムの交換などの間、数日間営業停止に追い込まれた。これは、ランサムウェア攻撃被害が表面化した氷山の一角に過ぎない。
セキュリティソフトウェアおよびハードウェアを開発・提供するSophosが小売435社に行ったアンケート調査によれば、①2020年に回答者小売企業の44%がランサムウェア攻撃を受け、②そのうち54%でデータが暗号化されてしまい、③データが暗号化された小売企業の32%が平均約15万ドル(約1700万円)の身代金を支払ったという。
身代金を支払った企業の67%がデータを復号できたが、残りは支払いにもかかわらず、データを回復できなかった。さらに、営業ストップ・復旧関連人件費・機器入れ替え・逸失商業利益などで、成功した攻撃1件につき平均約200万ドル(約2億7176万円)のコストがかかるなど、収益に悪影響を与えている。
状況は今年に入りさらに悪化している。サイバー保険を提供する独保険大手Allianzの2021年前半の報告書によれば、ランサムウェア犯罪者たちは小売を含む被害企業に平均530万ドル(約6億200万円)の身代金を要求。サイバーセキュリティ大手Palo Alto Networksによれば、身代金の平均支払い額も2020年前半の31万2000ドル(約3544万円)から、2021年前半には57万ドル(約6475万円)に急増している。
こうした状況下で、米小売業界はブラックフライデーやクリスマスを含む年末商戦に突入しており、書き入れ時にランサムウェア攻撃を受けて、データ統合・分析・加工に支障が生じれば、DXそのものが後退を迫られかねない。
前の記事
ダラー・ゼネラルが好調決算、あの小売業もリテールメディアを開始!
