デジタル化でビジネスを変革するデジタルトランスフォーメーション(DX)はデータインフラで成立していると言っても過言ではない。小売においては、ECサイト運営、店舗POS、決済インフラ、供給網管理・EC配送手配、顧客の嗜好解析とおススメ提案など、ビジネス改革の推進がデータ集積に依存している。だが近年、小売流通企業のシステムに侵入し、ライフラインであるデータを暗号化して人質にとることで、巨額の身代金を要求するランサムウェア攻撃が世界で急増中だ。小売DXにどのような悪影響があり、また小売チェーンはどのような対策を講じているのか。
狙われる小売企業
表面化は氷山の一角
DXが進む米小売業界では、ビッグデータに対する依存度が増している。データ統合・分析・加工こそがDXの肝であり、その急所を突かれれば、必須のデータ回復のため、身代金を支払わざるを得ない弱みがあるのだ。
こうした中、ランサムウェア対策に特化したセキュリティ企業であるCovewareは、「小売企業が、身代金要求型のサイバー攻撃の対象となる事例が急増している」と警鐘を鳴らす。また、NTTセキュリティが米市場向けに発表した英語の報告書は、「小売業の複合性や複雑性は、攻撃者のターゲットになりやすい」と分析した。
事実、2021年7月には、ロシア系のランサムウェア犯罪集団であるREvilが、サーバーやレジなどのリモート監視・管理向けVSAソフトウェアを提供する米ITベンダーのKaseyaの脆弱性を攻撃。Kaseyaのサービスを利用する川下企業1500社超のデータが影響を受けた。その中でも、スウェーデンの生鮮チェーンCoopはデータが暗号化されて800の全店舗でレジが機能しなくなり、各店におけるレジシステムの交換などの間、数日間営業停止に追い込まれた。これは、ランサムウェア攻撃被害が表面化した氷山の一角に過ぎない。
セキュリティソフトウェアおよびハードウェアを開発・提供するSophosが小売435社に行ったアンケート調査によれば、①2020年に回答者小売企業の44%がランサムウェア攻撃を受け、②そのうち54%でデータが暗号化されてしまい、③データが暗号化された小売企業の32%が平均約15万ドル(約1700万円)の身代金を支払ったという。
身代金を支払った企業の67%がデータを復号できたが、残りは支払いにもかかわらず、データを回復できなかった。さらに、営業ストップ・復旧関連人件費・機器入れ替え・逸失商業利益などで、成功した攻撃1件につき平均約200万ドル(約2億7176万円)のコストがかかるなど、収益に悪影響を与えている。
状況は今年に入りさらに悪化している。サイバー保険を提供する独保険大手Allianzの2021年前半の報告書によれば、ランサムウェア犯罪者たちは小売を含む被害企業に平均530万ドル(約6億200万円)の身代金を要求。サイバーセキュリティ大手Palo Alto Networksによれば、身代金の平均支払い額も2020年前半の31万2000ドル(約3544万円)から、2021年前半には57万ドル(約6475万円)に急増している。
こうした状況下で、米小売業界はブラックフライデーやクリスマスを含む年末商戦に突入しており、書き入れ時にランサムウェア攻撃を受けて、データ統合・分析・加工に支障が生じれば、DXそのものが後退を迫られかねない。
米小売業界の対応
基本対策を実直に
セキュリティ大手のTrend Microはブログで、小売業におけるランサムウェア攻撃の金銭的被害もさることながら、顧客や取引先の信用を失うこと、評判を落とすこと、訴訟を起こされる可能性にも留意すべきだと述べている。
デジタルトランスフォーメーションの目的が、「データ活用による人々の生活や企業活動のより良い方向への変化」であることを思えば、ランサムウェア攻撃を未然に防御し、データを保護・保全することが、DX継続の重要な課題であることがわかる。
前述のセキュリティ企業Sophos は、次のように警告している。
「一部の小売企業は、『弊社はデータバックアップが万全』『サイバー保険に加入している』『ランサムウェア向けに開発された対策を採用している』などの理由で、攻撃を受けない、あるいは攻撃されても被害は大きくならないと考えているが、これは誤った考えだ。なぜなら、どれだけ備えをしていても思わぬ被害が拡大するケースはあり、油断はできないからだ」。
事実、犯罪集団REvilは、被害企業のバックアップデータも改変することで知られる。そのためSophos は、ランサムウェアで攻撃をされることを前提に、①バックアップの多重化・多角化、②ハード・ソフト両面の防御を多層化し、③人間のIT専門家とセキュリティソフトを組み合わせ、④セキュリティ回復対策を予め用意した上で、⑤身代金を支払わなければならない場合にも、データを取り戻せる確率は3分の2であることを念頭に入れておくこと、を提言している。
また、ランサムウェアが日進月歩で進化を続ける一方で、旧型のIT機器やソフトウェアにセキュリティパッチを当てていない小売企業が多数に上り、セキュリティ意識の低い従業員がマルウエア感染を引き起こすなど、基本的な対策が不十分であることから、これらの強化が被害低減につながることも指摘されている。
DXにとりデータは命だが、ランサムウェア攻撃はそのデータを暗号化して使用不能にしたり、最悪の場合には流出させたりと、小売企業トランスフォーメーションの敵である。しかし、そうした攻撃を100%防ぐことは難しい現状に鑑み、基本的な対策を実直に行い、多重・多層のバックアップとディフェンスでDXを継続できる態勢作りが求められていると言えよう。