身代金だけではないランサムウェアのコスト～企業が最終的には支払ってしまう理由は？

現在、企業が直面している最も破壊的なサイバー脅威の1つがランサムウェア。企業のシステム、データそして信頼に回復不能な損害を与える可能性があり、金銭的な被害も深刻になりえます。

ここでは、身代金の支払いだけにとどまらない、ランサムウェア攻撃の金銭的な意味を探ってみましょう。支払いを拒否した被害者でさえ、事件そのものの期間、コンテインメントと回復のプロセス全体、そして場合によってはその後数週間から数か月にわたって、多額の費用と収益の損失が発生します。

ランサムウェア攻撃は、直接的および間接的なコストを通じて、壊滅的な財政的影響を与える可能性があります。直接的なコストには、通常、支払われた身代金のコスト(暗号化されたデータを解除するための復号キーや、盗まれたデータの漏洩、企業の公開サーバーへのサービス拒否攻撃などの脅威を実行しないことを約束する代わりに)のほか、マルウェアの駆除と影響を受けたシステムの復旧のために専門家を雇うコストが発生します。間接的なコストには、ダウンタイムによる生産性と収益の損失、企業の評判、コンプライアンス違反に対する罰金、訴訟費用などが含まれます。

公に知られるようになった最も大きい身代金の一つは、ソフトウェアベンダーのKaseyaに対するRevilランサムウェア攻撃で要求された7千万ドルです。身代金の要求額は、攻撃者の技術力と、ターゲットが支払うことができる金額についての情報収集によって大きく異なり、数千ドルから数千万ドルまでさまざまです。

要求額は、ターゲット企業の年間売上高に対する割合 (通常は3%) で決定されることもあります。

身代金の支払いは、ランサムウェア攻撃に関連するコスト全体のごく一部 (多くの場合15%程度) しか占めていないと推測されています。

通常、ランサムウェア攻撃後のダウンタイムと失われたデータの回復のコストは、ランサムウェア攻撃の全体的な支出のかなり大きな部分を占めています。ランサムウェアのインシデントが発生した後、平均的なビジネスでは運用再開までに22日間のダウンタイムが発生します。ダウンタイムの平均コストは、身代金の要求額の50倍に達することがよくあります。

ランサムウェアの攻撃を受けた場合、暗号化されたデータや破損したデータを復元して業務を再開するIT運用チームだけではなく、マーケティング、法務、人事、その他の組織のチームが危機管理メッセージに対応するなど、企業全体が復旧に注力する必要があります。ランサムウェアの追加コストには、販売機会の損失、製品やサービスの提供量の減少、風評被害、復旧作業を迅速に行うための外部コンサルタントや外注業者の費用、上場企業の株価への影響、顧客データの保護やその他のコンプライアンス違反に対する規制当局による罰金、サービスレベル契約の不履行による顧客への罰則金などが含まれます。

さらに、ランサムウェア攻撃は企業のサイバーセキュリティ防御の弱点を明らかにし、攻撃を可能にした脆弱性を特定するためのフォレンジックデータの分析、同様の攻撃の再発を防ぐためにそれらのギャップを埋める計画の構築、修復計画を実行するために必要なサイバーセキュリティ技術、プロセス、および人的スキルへの追加投資を必要とします。

実際の身代金以外のデータ侵害の世界平均コストは、2023年に500万ドルに達すると予想しています。

破壊的サイバー攻撃のコストを見積もる場合、全てに当てはまる回答はありません。企業が被る金銭的損失は、次のようないくつかの要因によって大きく異なります。

•  攻撃で暗号化または侵害されたデータの種類。機密データが暗号化されている場合、企業はそれを取り戻すために身代金を支払うか、暗号化された状態から回復できない場合の交換コストに対処が必要になります

•   特に機密性の高いデータが失われたり公開されたりした場合は、規制上の罰金が科されます

•   通常の業務を遂行できないことに伴う生産性、収益、その他の損失もあります

•   風評被害。顧客やパートナーは、データセキュリティへの懸念から取引を縮小または終了する可能性もあります。また風評が投資家の信頼と株価に悪影響を及ぼす可能性もあります

時間をかけてこれらの要因をすべて確認することで、短期的にも長期的にも、ランサムウェア集団による攻撃が成功した場合にどれだけの損失が発生する可能性があるのか、なぜインシデント対応計画を策定する必要があるのかを把握できます。

身代金を支払う場合、サイバー攻撃によるリスクを完全に排除していると考えるかもしれなませんが、これはいくつかの理由から危険な錯覚です。

•   攻撃者は依然として標的のシステムやデータに積極的にアクセスしている可能性があります

•   攻撃者は機密データを流出させた可能性があり、金銭を支払わなければ公開する可能性があります

•   身代金を支払っても攻撃者が今後また攻撃を仕掛けないとは限りません

•   身代金を支払うことで、他の攻撃者が同社を標的にする可能性もあります

あらゆる業種、あらゆる地域、あらゆる規模の企業に対して、ランサムウェア攻撃が経済に与えてきた影響の例は数多くあります。

米国司法省によると、全ランサムウェア攻撃の約75%が中小企業を標的にしています。また、最近の調査によると、サイバー攻撃の被害を受けた中小企業の60%が6カ月以内に廃業の憂き目にあっています。

• 2022年9月、ランサムウェア集団Hiveが一週間以内に4社の標的を攻撃する犯行声明を出しました。攻撃者は、ニューヨークに拠点を置く緊急対応・救急サービスプロバイダーEmpress EMS (Emergency Medical Services) のシステムにアクセスし32万人以上が影響を受けました

• 世界中に130以上の店舗を持つフランスの衣料品会社Damartは、2022年にランサムウェア攻撃を受け、200万ドルの身代金を要求されました。このランサムウェア感染により新規注文の処理能力が低下し、カスタマーサポートが利用できなくなりました

• Nvidiaは2022年に、従業員の個人情報やプロプライエタリな情報がオンラインに流出するというランサムウェアの被害を受け、ランサムウェアグループのLapsus$は、同社から１TBのデータを流出させたと発表。100万ドルに加え詳細不明の料金の身代金を要求しました

• イリノイ州リンカーンにあるLincoln Collegeは、2021年12月にランサムウェア攻撃を受け、学生募集と定着率向上、資金調達のためのすべてのシステムがロックされ、大学閉鎖を余儀なくされました

これらの例は、企業の規模や業種、攻撃の程度、攻撃への対応によって、組織が受ける金銭的影響や実際のコストが異なることを示しています。

ランサムウェア攻撃者はあらゆる業界の被害者を標的にしていますが、医療、金融、官公庁、教育、テクノロジーなど、特定の外圧に対する脆弱性がある業種が分野が好まれる傾向があります。

医療業界：病院には、攻撃者が悪用できる機密性の高い患者データが多いのに反してサイバーセキュリティに関して他の業界よりも十分に保護されていません。医療提供システムをロックアップすると、患者の命が危険にさらされる可能性があります。

金融業界：銀行などの金融機関は、顧客の機密データを保管しています。攻撃者はこの金融データを利用して、被害者から金銭を脅し取ったり、IDを盗んだりすることができます。業界や政府の規制当局は、データプライバシーに関するコンプライアンス規則に違反した企業に厳しい罰則を課すことができます。

官公庁：重要なインフラデータや機密情報を所有・管理していることが多く、攻撃者はこのデータを利用して被害者を脅迫したり、業務を妨害したりすることができます。また政府高官は、重要な有権者むけサービスが長期間オフラインになることに対する国民の反応に敏感です。

教育機関：教育機関は、しばしば個人を特定できる情報 (PII) や研究論文を保持しており、攻撃者はこの情報を利用して被害者から金銭を巻き上げたり、闇市場で販売したりすることがあります。予算やITスタッフの制約に加え、学生たちがアクセスするWEBサイトやダウンロードするアプリケーションに無頓着な傾向があるため、一般的企業よりもはるかに脆弱な技術環境が生み出されています。

テクノロジー：IT企業は他の企業と同じ問題を多く抱えており、既知の脆弱性へのパッチ適用や最新のセキュリティ脅威への対応に苦労する可能性がある一方で、企業の信頼性を損なうリスクは非IT企業よりも大きく、顧客、見込み客、パートナーは、ランサムウェアやその他のマルウェア攻撃に成功したことで知られるIT企業との取引を回避する傾向があります。

最近の報告によると、2022年にはランサムウェア攻撃が激増し、全侵害の25%がランサムウェアによるものでした。さらに、2021年には組織の66%がランサムウェアの影響を受けており、これは2020年に比べて78%増加しています。

多くの組織がランサムウェア攻撃に伴う大きな混乱とコストを回避するために身代金を支払うことに気づいたため、平均的な身代金の要求額は、劇的に増加しています。例えば、The Washington Postは、2021年に身代金の支払い額が70%急増したと報じています。

ビットコインのような暗号通貨の登場は、ランサムウェアギャングが成功し、法執行機関に邪魔されずに活動を続けることができる、もう一つの大きな要因となっています。暗号通貨による身代金の支払いは追跡が困難で、簡単に現金に換えることができます。さらに、多くのサイバー犯罪のビジネスは、大部分がダークウェブを通じて運営されています。

ランサムウェアの攻撃者は、ターゲットから身代金を引き出すために、もはや暗号化攻撃だけに頼っているわけではありません。攻撃者は、ランサムウェア攻撃を起こす前に、かなりの量の機密データを静かに流出させるケースが増えています。被害者が復号化キーにお金を払うかどうかは別として、攻撃者が機密データをネット上に流出させ、企業がさまざまな法的リスク、風評リスク、コンプライアンスリスクにさらされるのを防ぐために、お金を払う可能性ははるかに高くなります。

このような攻撃は、これまでにも数多くの事例があります。例えば、Singtelの子会社でオーストラリア第2位の携帯電話事業者（加入者数1050万人超）であるOptusは、2022年9月にセキュリティ侵害に遭いました。攻撃者は1100万人の顧客のデータを入手したと主張し、身代金として100万ドルを要求しています。

マリオット・インターナショナルは、2022年のデータ侵害で5億人の宿泊客の個人情報が盗まれたことを明らかにしました。Twitterがハッキングされた際、暗号通貨をだまし取ろうと、著名なアカウント数十個が乗っ取られています。

ランサムウェアの平均的な支払額を正確に見積もることは困難です。すべての攻撃が報告されるわけではなく、発生したコストは、対象となる組織の規模や性質、暗号化されたデータ量、要求された身代金によって大きく異なる可能性があります。一方でランサムウェア攻撃のコストは、年間数十億ドルに上る可能性があるとする試算もあります。

Acronisの 2022 End-of-Year Cyberthreats Reportによると、米国におけるデータ侵害の平均総費用は約950万ドルでした。前述の通り、2023年には全世界の1インシデントあたりの平均コストは500万ドルを超えると予想されています。

業界アナリストのCybersecurity Venturesは、「2022 Ransomware Market Report」の中で、ランサムウェアは2031年までに年間総額2650億ドルの損害を与えるだろうと予測しています。

Statistaが2022年に世界のITプロフェッショナルを対象に実施した調査でまとめたデータによると、回答者の約72％が身代金を支払い、漏洩したデータを復旧しています。

しかし、ブロックチェーン分析会社Chainalysisによると、2021年と比較して、被害者が支払いに抵抗したため、2022年中にランサムウェアの支払額は40％以上減少しました。同社の「2023 Crypto Crime Report」によると、ランサムウェアの攻撃者は2022年に被害者から4億5680万ドルを強奪しました。これは、2021年の7億6560万ドル、2020年の7億6500万ドルから大幅に減少したことになります。

サイバー保険はランサムウェア攻撃をカバーすることがありますが、具体的な補償内容や条件は保険会社や加入する保険によって異なります。例えば、身代金の支払いを補償する保険もあれば、データやシステムの復旧費用のみを補償する保険もあります。

多くのサイバー保険がランサムウェア攻撃をカバーしている一方で、保険料は近年劇的に上昇しています。これは、世界中で起きているサイバー攻撃の件数が増加しているためです。保険会社は、オンラインビジネスのリスクをより深く理解し、その結果、保険料を高く設定しているのです。

復旧コストはインシデントの範囲と深刻さによって大きく異なり、身代金の支払いだけがコストではありません。

実際の身代金の支払いだけでなく、データ復旧、システム復旧、法的規制の遵守、風評被害などに関連する費用も含まれます。一部の報告によると、ランサムウェア攻撃の平均コストは454万ドルで、身代金の支払いコストは含まれておらず、平均812,360ドルとなっています。

ランサムウェアの攻撃から回復するための方法はいくつかありますが、最も重要な要件は、データが暗号化されても復元できるように、優れたバックアップとディザスタリカバリ戦略を備えておくことです。

また、最初の感染を防ぐために、ウイルス対策、マルウェア対策、二要素認証を導入しておく必要があります。さらに、通常、予防にかかる費用は復旧にかかる費用よりもはるかに低いため、攻撃を繰り返さないための対策を講じることが重要です。

サイバー攻撃は、豊富なリソースを持つ大企業だけでなく、予算や専門知識が乏しい中小企業も被害を受けています。

組織の規模にかかわらず、ビジネスの継続性を確保するためには、堅牢なバックアップとディザスタリカバリプランを導入することが重要です。これにより、システム侵害が発生した場合でも、データの迅速な復旧が可能になります。

データを保護するその他の重要な方法には、次のものがあります

• ランサムウェアとその仕組みについて従業員を教育。電子メールの添付ファイルを開いたり、不明なソースからのリンクをクリックしたりすることに関連するリスクを従業員が認識する必要があります

• ファイアウォール、侵入検知・防止システム、多要素認証、電子メールフィルタリングなどのセキュリティ対策を実施します

• システムおよびソフトウェアを最新のセキュリティパッチに更新する。これにより、攻撃者が悪用する可能性のある既知の脆弱性を塞ぐことができます

ランサムウェアは進化する脅威であり、中小企業は経済的損失から守るために積極的な対策を講じる必要があります。

サイバーセキュリティ・ソリューションへの投資、疑わしい活動を発見するためのスタッフのトレーニング、データ復旧のための信頼できるバックアップ、これらの脅威に対処するための包括的な計画によって、企業はランサムウェア攻撃に関するコストを削減することができます。

Acronis Cyber Protectは、人工知能（AI）を使用して悪意のある活動を検出し、企業がランサムウェア攻撃の犠牲になるのを防ぐ、統合的で費用対効果の高いサイバー保護ソリューションです。システム上のファイルやアプリケーションの動作を分析し、悪意のあるプロセスを終了させ、受けたダメージを自動的に回復させることで機能します。

また、データの暗号化や削除の試みを積極的に検出してブロックし、その他の種類のマルウェアから保護する堅牢なランサムウェア対策エンジンが含まれています。さらに、Acronis Cyber Protectは、ランサムウェアによって暗号化されたデータを迅速に復元することができます。また、最高レベルのデータバックアップと災害復旧機能を備えており、企業にとって価値あるツールとなっています。