ランサムウェア攻撃の“お金事情” 侵入コストはたった6.6万円? 米初代サイバー長官が実態明かす
ランサムウェア被害の復旧には平均約2億3000万円かかり、業務が約21日間止まる――サイバーセキュリティ企業のHalcyon Japan(東京都渋谷区)は5月26日、こんな分析結果を含むレポート「日本を標的とするランサムウェア攻撃の実態 2026」を発表した。
ランサムウェアは、企業のデータを暗号化し、復旧と引き換えに金銭を要求する身代金型ウイルスだ。アサヒグループホールディングス、アスクル、KADOKAWAグループなど大手企業が被害を公表した。警察庁の発表によると、2025年の国内ランサムウェア被害は226件だが、これは氷山の一角だとみられる。
米国バイデン政権で初代国家サイバー長官を務めたクリス・イングリス氏は「ランサムウェア攻撃者が3500倍も有利で、コスト効率良く攻撃できる。攻撃に失敗しても損失は少ないが、企業が防御に失敗したときの代償は大きい」と指摘した。同氏は米Halcyonで戦略顧問を担っており、同日の記者会見に登壇した。
イングリス氏によると、ランサムウェア攻撃者が企業に侵入する際のコストはわずか約6万6000円だという。攻撃者はなぜ、これほど優位な位置に立てるのか。同氏が実態を明かした。
ランサムウェア攻撃の“お金事情” 侵入コストはたった6.6万円?
イングリス氏は「攻撃側と防御側の間に驚くほどの非対称性がある」と強調した。企業内ネットワークに侵入するためのツールや権限は、ダークウェブで約6万6000円で販売されているという。被害の復旧にかかる平均コストは約2億3000万円で、ここに「身代金」「業務停止時の機会損失」「風評被害」は含んでいない。
同氏によると、攻撃者は最短1時間で企業内ネットワークに侵入するという。侵入後に、300超の脆弱(ぜいじゃく)性を詰め込んだソフトウェアによる攻撃「BYOVD」(Bring Your Own Vulnerable Driver)を仕掛けて、サイバー攻撃の検知を担うツール「EDR」(Endpoint Detection and Response)などを無効化。「データの窃取」「システムの暗号化」に着手する。
企業側が侵入を検知するまでに平均6日かかるといい、その間に攻撃者は「システム深部への侵入」「高い権限を持つIDの窃取」などを終わらせる。イングリス氏は「用意周到に攻撃を仕掛けるため、侵入を一度許すとあらゆる場所が狙われる」と警鐘を鳴らした。
サイバー攻撃者が優位に立てる「2つの理由」
サイバー攻撃者が企業より優位に立てる理由は、2つあるとイングリス氏は説明した。
1つ目は、新技術の登場だ。生成AIなど新しい技術が登場すると、従来のIT運用では想定していなかった事態が起こり得る。攻撃者は、この変化を瞬時に察知して、新技術を取り入れたり対策の穴を突いたりする。
新しいセキュリティ対策機能が登場しても、企業の導入には時間がかかる。「どのような機能なのか」「自社システムに影響はないか」などを入念に確認してから導入するため、攻撃者との技術差が生じてしまう。
2つ目は、攻撃者が徒党を組んでいる点だ。攻撃に利用できる脆弱性や技術の情報を共有したり、脅威アクターが「リーダー」「ランサムウェア開発担当」「攻撃の実行犯」など得意分野に応じて分業する。
しかし企業は、連携をためらいがちだとイングリス氏は述べた。連携すると「A社の脆弱性情報をB社に共有する」「A社の独自情報を外部に伝える」などが必要になるケースがあり、慎重にならざるを得ないという。
「日本政府は果敢に対応」 実際の責任は民間企業の肩に
被害が拡大するランサムウェア攻撃を前に、各国が政府レベルで対策に乗り出している。
「日本政府は果敢に対策を講じており、その一つが『能動的サイバー防御法』だ。しかし、実際の『堅牢(けんろう)なシステムを構築する』『有事に備えて防御策を講じる』といった責任は民間企業の肩にかかっている」(イングリス氏)
能動的サイバー防御法は、2025年5月に可決された「サイバー対処能力強化法」「サイバー対処能力整備法」から成る。サイバー攻撃への対応能力を強化することを定めたものだが、主な対象は重要インフラに限られる。
ランサムウェア攻撃に対する各社の取り組みが重要だ。こうした状況を踏まえて、Halcyon Japanは「ランサムウェア対策ソリューション」を5月26日から国内で提供すると発表した。24時間365日のサポートを提供するほか、業界団体とも連携する計画だ。同社は、国内のランサムウェア対策を前進させられるか。
関連記事
「11億円を自ら振り込んだ」エンジニア集団の悲劇 はてなを襲った巨額詐欺、IT企業の意外な盲点
東証グロース上場のはてなが発表したニュースは、IT業界のみならず日本の経営層に激震を走らせた。悪意ある第三者からの「虚偽の送金指示」に従い、最大約11億円という巨額の資金を外部口座へ送金してしまったというのだ。これは「あの会社が特別に脇が甘かった話」ではない。どの業種の、どの規模の会社でも起こり得るリスクだ。
アサヒ・アスクルを襲った「PC1台の死角」 日本HPが説くセキュリティ投資の真意
2025年後半、ランサムウエアによるサイバー攻撃が、アサヒグループホールディングスやアスクルを襲った。システム障害と業務停止は、PC1台のハッキングが企業の命運を揺るがす事実を、日本中に突きつけた。「エンドポイント」を、いかに死守すべきか。日本HPの岡戸伸樹社長は「セキュリティは経費ではなく投資だ」と断言する。
新入社員はサイバー攻撃者にとって格好の標的? ニセ社長やAI詐欺、巧妙化する手口への対策
新年度を迎え、多くの企業で新入社員が現場に加わる4月。組織に新たな活力をもたらす一方で、サイバーセキュリティの観点では見過ごせないリスクも生じている。企業はどのように備えるべきなのか。
ランサムウェア感染経験は45%超 身代金を払っても「戻らなかった」企業が増加か
日本情報経済社会推進協会の調査によると、ランサムウェア被害の経験がある企業は45.8%に上った。被害はどの業種・規模の企業で広がり、どのような影響を及ぼしているのか。実態をひもとく。
7割の企業が「セキュリティ予算を増額」 どの領域で予算を増やした?
サイバー攻撃に備えるために、セキュリティ予算を増額する企業が増えている。具体的にどの領域で予算を増やしているのか?
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR注目記事ランキング
アイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。