サイバー保険加入企業への身代金要求が高額化 オランダ政府が注意喚起：セキュリティニュースアラート

オランダのサイバーセキュリティ機関DTCは、サイバー犯罪者が企業のサイバー保険加入状況を利用し、より高額な身代金を要求する傾向があると発表した。サイバー保険加入企業は未加入企業に比べて3倍弱の身代金を払ったという。

[後藤大地，有限会社オングス]

　オランダ公的サイバーセキュリティ支援機関（DTC：Digital Trust Center）は2025年4月14日（現地時間）、サイバー犯罪者が企業のサイバー保険加入状況を把握した上で、より高額の身代金を要求する傾向にあると発表した。

　この発表はオランダ国家警察のサイバー犯罪専門家トム・ムールス氏による博士研究に基づいており、2019〜2023年の間に発生した500件以上のインシデントを分析対象としている。

サイバー保険加入はむしろリスク？　ランサムウェア攻撃の最新事情

　同研究によれば、サイバー犯罪者は標的選定や身代金額の設定において従来よりも高度で戦略的な手法を取るようになっている。特にサイバー保険に加入している企業に対しては、保険の有無を把握した上で要求金額を引き上げる傾向が明らかになった。実際、サイバー保険に加入している企業は、未加入の企業に比べて平均2.8倍の身代金を支払っているという。

　ムールス氏は「攻撃者はネットワークに侵入すると、insuranceやpolicyといったキーワードを含むファイルを積極的に探す。これにより、交渉上有利な情報を手に入れて、より高額の身代金を要求してくる」と指摘する。

　また、バックアップ体制の整備がランサムウェアへの対抗策として極めて有効であることも判明した。調査対象企業のうち、適切なバックアップ環境を構築していた企業は、そうでない企業と比べて身代金の支払いが必要となる可能性が、27倍も低かったことが判明した。ただし、攻撃者は侵入後にバックアップの破壊を試みるため、ネットワーク上のアクセス権を持たないオフラインでのバックアップが効果的だという。

　業種別の被害状況を見ると、多く攻撃を受けたのは商業（卸売・小売業）で、全体の32.6％を占め、平均身代金額は11万2793ユーロ。続いて建設業（17.9％）、そしてICT業界（14.7％）と続くが、ICT業界の平均身代金額は26万8039ユーロと高額だ。攻撃者は支払い能力の高い業種を標的に選んでいる実態が、ダークWeb市場上の通信などからも明らかになった。

　DTCおよびオランダ政府は、身代金の支払いを推奨していない。支払ってもデータが返還される保証はなく、再度の攻撃を招くリスクも高いためだ。警察の報告によれば、支払われた資金は次の標的の認証情報を入手するために使われるケースが多いという。

　それでも多くの企業にとって、身代金の支払い以外に選択肢がないのが実情だ。調査によると、身代金を支払った100件のうち約95件では、ITインフラが完全に破壊されており、他の復旧手段がなかった。残りのわずかなケースでは他の手段も存在したが、企業は迅速な復旧や評判リスクの回避を理由にあえて支払いを選択していた。

　研究およびDTCの勧告はランサムウェア被害の抑止には企業自身の対策が不可欠であることを強調している。対策としては多要素認証（MFA）の導入や従業員向けのセキュリティ教育、攻撃検知体制の強化、バックアップの物理的または論理的分離、保険情報の秘匿などを挙げている。さらに政府機関や業界団体との連携を通じ、疑わしい活動を早期に発見する体制の構築も重要だとしている。