大企業ほど高額の身代金を支払う? 支払い禁止を巡る「本音と建前」:Cybersecurity Dive
身代金の支払いを禁止する措置の有効性について議論が再燃している。これは、ランサムウェアが世界の組織にもたらすコストと関連している。
この記事は会員限定です。会員登録すると全てご覧いただけます。
ホワイトハウスが身代金の支払いを禁止する可能性に言及する中(注1)、ランサムウェア被害を受けたとき、最終的に身代金を支払う組織の数は依然として高い水準にある。
セキュリティベンダーのSophosが2023年5月11日(現地時間)に発表した調査結果によると(注2)、過去1年間にランサムウェアに感染した組織のうち約半数である46%がデータ復旧のために身代金を支払った。
身代金支払い禁止を巡る“本音”と“建前”
ランサムウェアに関連する支払いの平均値や数値は、研究会社や調査によって異なる場合がある。
Sophosが14カ国のITおよびサイバーセキュリティのリーダー3000人を対象に実施した調査では、過去1年間の身代金支払い額の中央値は40万ドルだった。
Palo Alto Networksのグローバル脅威インテリジェンスチーム「Unit 42」は2023年3月に発表したランサムウェアに関するレポート(注3)で、身代金支払い額の中央値は35万ドルであると報告した。2023年5月のはじめにBakerHostetlerが発表した調査では(注4)、身代金の平均支払額は60万ドルで、前年から15%増加した。
データに相違はあるものの、ランサムウェアに関連する活動の持続性および規模、最終的に犯罪者の手に渡る金額は、ランサムウェアとの戦いにおいて大きなマイナス要因となっている。これはサイバー当局が経済的な動機を持つ攻撃者に対抗するために他の手段を考える原動力となっている可能性がある。
2023年5月5日に開催されたセキュリティとテクノロジーに関連するランサムウェアのタスクフォースイベントにおいて、サイバーと新興技術を担当する国家安全保障担当補佐官のアン・ノイバーガー氏は「2020〜2022年にかけて世界で6516件のランサムウェア攻撃があった」と述べている。
収益が大きい組織ほど高い身代金を支払う
ただし、これは政府が把握している攻撃の数にすぎない。
2023年5月1日の週に発表されたContiランサムウェアグループの活動に関する詳細なピアレビューでは(注5)、多くの身代金支払いが報告されないまま実施されていることを強調された。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の上級技術顧問であるジャック・ケーブル氏を含む研究者たちは、Contiとその前身である組織に支払われた8000万ドル以上の身代金を追跡し、これまで知られていた数字から5倍も増加したことを明らかにした。
Sophosの調査によると、収益が大きい組織ほど高い身代金を支払う可能性が高く、年間売上高が10億ドル以上の組織における身代金支払い額の中央値は100万ドルだった。年間売上高が50億ドル以上の組織の場合、この数字は300万ドルにまで上昇する。
Sophosによると、7桁の身代金を支払う組織の割合は、2022年は11%だったのが2023年には40%にまで急増した。
この調査では、組織が身代金を支払う可能性に、サイバーセキュリティ保険が直接関連していることも判明した。単独でサイバー保険に加入している組織の約5社に3社が身代金を支払ったのに対し、保険に加入していない組織のうち身代金の支払いに応じたのは15%だった。
ランサムウェアに関連する支払い禁止の実現可能性を巡る議論が再燃しているのは、ランサムウェアが世界の組織に与えているコストと痛みに起因している。
Unit 42の研究者は、身代金の支払いが3000ドルという低額から700万ドルという高額に及ぶことを確認している。
Sophosの応用研究のフィールドCTOであるチェスター・ウィスニエフスキ氏は「私は必ずしも身代金の支払い禁止に賛成しているわけではない。なぜならば、それが適切に機能すると思えないためだ」と述べた。
「副次的な被害が甚大であるため、そのような禁止措置を講じる場合は全ての国からの支持と参加が必要だが、それは難しいだろう。もし、それが完璧に行われればランサムウェアに終止符を打つことができるだろうが、それが現実的だとは思えない」(ウィスニエフスキ氏)
(注1)White House considers ban on ransom payments, with caveats(Cybersecurity Dive)
(注2)The State of Ransomware 2023(Sophos)
(注3)RANSOMWARE AND EXTORTION REPORT(Palo Alto Networks)
(注4)Reassess&Recalibrate(BakerHostetler)
(注5)Money Over Morals: A Business Analysis of Conti Ransomware(arXiv)
関連記事
経営者とセキュリティ担当者が分かり合うためのフレームワークを知っているか?
ランサムウェア攻撃が高度化する今、全社一丸となってセキュリティ対策を講じるには、経営層から現場のセキュリティ担当者までが同じ言葉で語り合い、足並みをそろえる必要がある。これを実現するフレームワークを解説しよう。
サイバー攻撃が激化する中、世界の有識者はなぜ楽観的な見通しを立てているのか?
ランサムウェア攻撃をはじめとしたサイバー攻撃の激化はとどまることを知らないが、それでも世界のセキュリティ有識者たちは希望を持っている。
中小企業の約8割がサイバー攻撃を1回以上経験 防御力を上げる“6つ”の施策
今やサイバー攻撃の標的になるのは大企業だけではありません。サプライチェーンを狙った攻撃が増加したことで中小企業も絶好のターゲットとなっているのです。では、これから身を守るために中小企業がすべきこととは何でしょうか。
“お金をかけずに”サイバーレジリエンスを高める方法
サイバー攻撃の激化に向けてサイバーレジリエンス能力を高めることが企業には求められています。ただ、これに向けてすべてを購入する予算やリソースが不足している企業もあることでしょう。そこで本稿では“お金をかけなくてもできる対策”を紹介します。
© Industry Dive. All rights reserved.
注目のテーマ
人気記事ランキング
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- 「SAPのUXをガラッと変える」 AIアシスタントJouleの全体像とは?
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
ITmediaはアイティメディア株式会社の登録商標です。