ランサムウェア被害により生じる二次的損害額、身代金支払い額の７倍の金額に

チェック・ポイント・リサーチ（Check Point Research、以下CPR)は最新のレポートにおいて、 サイバー犯罪者集団と被害者企業の両方の視点から見たランサムウェア攻撃の実態を明らかにするため、ランサムウェアに関する経済構造の内情を調査しました。  

ランサムウェア攻撃は増加の一途をたどっていますが、最初に奪われる金額以上の隠されたコストが発生することを理解している人は多くありません。一部例を挙げると、対応や復旧の費用、弁護士費用、モニタリング費用などがそれにあたります。Conti Leaksの最近の投稿をもとにCPRが示しているのは、ランサムウェアの攻撃グループが明確な経営体制と人事方針を持つ合法的な企業といかに似ているかということです。ランサムウェア攻撃グループのこうした巧妙化は、ターゲットの設定や身代金額の決定方法、更には最大限の金銭的利益を得るための交渉術にまで及んでいます。幸いにも、多くの組織がランサムウェアの脅威に気付き、明確な対応策と被害の軽減策を講じています。その結果として、実際に各種ランサムウェア攻撃の継続期間は短くなっています。 しかし、サイバー犯罪者は常にその技術を向上し、大損害をもたらす手口を発見し続けているのです。 

CPRは、リークされたContiグループの内部情報や様々なランサムウェア被害者の関連するデータセットをさらに分析し、ランサムウェア経済についての新たな洞察をシェアしています。CPRの試算によれば、支払われた身代金額はランサムウェア攻撃の被害者が実際に費やした損害額のごく一部にすぎず、損害の総額は身代金額の７倍に上るとされています。サイバー犯罪者が要求する身代金額の合計は、被害者組織における年間収益の0.7%～5%に相当します。ランサムウェア攻撃の継続期間は、2021年に15日間から9.9日間へと大幅に減少しました。また、CPRはランサムウェア攻撃グループが被害者との交渉を成功させるための明確な基本ルールを持ち、交渉のプロセスや力関係を左右していると見ています。
    · CPRはランサムウェア攻撃について、被害者側とサイバー犯罪者側、両方の側面を調査するために、2つのデータセットを分析しています。
    · CPRは2022年第１四半期の地域別のランサムウェアによる被害数を、2021年の第1四半期と比較して公開しています。
    · CPRはあらゆる組織に向けて、ランサムウェア被害を予防する4つのヒントを提供しています。

CPRはランサムウェアに関する経済的な損害について新たな洞察を得るために２つのデータセットを分析し、ランサムウェアが被害者に与えた損害により生じた二次的なコストについて、総額が身代金額の７倍に上ると試算しています。 １つ目のデータセットはKovrr社のサイバーインシデントに関するデータベースで、サイバー関連の事件と、その財務上の影響に関する最新データを掲載しています。２つ目に使用したデータセットはリークされたContiグループの内部情報です。 CPRの本リサーチは、被害者側とサイバー犯罪者側というランサムウェア攻撃の両側面を調べることを目的として行われました。

主な調査結果
1. 二次的コスト 支払われた身代金は、ランサムウェア攻撃によって被害者に生じた損害額のほんの一部に過ぎません。CPRの試算によれば、攻撃の損害による被害者側のコストの総額はサイバー犯罪者に支払う額の7倍の金額であるとされ、その内訳は対応・復旧の費用、弁護士費用、モニタリング費用です。
2. 要求総額 要求される身代金の合計額は被害者組織における年間収益額に応じて設定され、収益の0.7％～5％の範囲で変動します。被害者の収益が高くなるほど要求額の収益に占める割合は低くなりますが、ドル換算における金額は高くなります。
3. 攻撃の継続期間 ランサムウェア攻撃の継続期間について2021年の年間では15日間から9日間へと大幅な短縮が見られました。
4. 交渉の基本ルール ランサムウェア攻撃グループは被害者との交渉を成功させるための明確な基本ルールを持ち、下記の要素によって交渉のプロセスや力関係を左右しています。
a. 被害者の財務状況の正確な試算
b. 被害者から盗み出したデータの品質
c. ランサムウェア攻撃グループの評判
d. サイバー保険の加入の有無
e. 被害者側の交渉担当者の交渉手法と利害関係

引用:チェック・ポイント・ソフトウェア脅威インテリジェンス部門マネージャー セルゲイ・シュキエヴィチ(Sergey Shykevich)、
「本リサーチで、私たちは攻撃者側と被害者側の両方の視点からのより深い考察を提供しています。ここで得られた重要な教訓は、多くの研究で取り上げられている身代金の支払い額が、ランサムウェア関連の経済においては重要な数字ではないということです。攻撃をめぐっては、サイバー犯罪者側と被害者側の両方が多くの金銭的な状況や考慮点を有しています。サイバー犯罪者らが実に体系的に身代金額の設定や交渉を行っているという点は、驚くべき事実です。気まぐれによる行動は１つもなく、すべてはこれまでに述べたような要因に従って決定され、計画されています。 特筆すべき点は、被害者にとって、ランサムウェアによる“二次的コスト”は彼らが支払った身代金額の７倍以上にあたるということです。私たちが広くお伝えしたいことは、 適切なサイバープロテクション、特にランサムウェア攻撃に対して明確に定められた対応策を事前に構築することによって、組織のコストを大幅に削減できるということです。」

統計で見るランサムウェア
2022年の第1四半期、 CPRは下記の統計を公開しています。
    · 世界的に見ると、攻撃を受けた組織の週平均は53組織につき１件の割合。前年比24％増。（2021年第１四半期では、66組織につき１件）
    · 日本では、攻撃を受けた組織の週平均は98組織につき１件の割合。前年比12％増。 （2021年第１四半期では、110組織につき１件）
    · ヨーロッパ、中東およびアフリカ地域では、攻撃を受けた組織の週平均は45組織につき１件の割合。前年比37％増。 （2021年第１四半期では、62組織につき１件）
    · アジア太平洋地域では、攻撃を受けた組織の週平均は44組織につき１件の割合。 前年比37％増。（2021年第１四半期では、60組織につき１件）
    · アフリカでは、攻撃を受けた組織の週平均は44組織につき１件の割合。前年比23％増。（2021年第１四半期では、54組織につき1件）
    · オーストラリア・ニュージーランドでは、攻撃を受けた組織の週平均は88組織につき１件の割合。前年比81％増。（2021年第１四半期では、160組織につき１件）
    · アジアでは、攻撃を受けた組織の週平均は24組織につき１件の割合。前年比54％増。（2021年第１四半期では、37組織につき１件）
    · ヨーロッパでは、攻撃を受けた組織の週平均は68組織につき１件の割合。前年比16％増。（2021年第１四半期では、80組織につき１件）
    · 北アメリカでは、攻撃を受けた組織の週平均は120組織につき１件の割合。前年から大きな変動なし。
    · ラテンアメリカでは、攻撃を受けた組織の週平均は52組織につき１件の割合。前年比25％増。（2021年第１四半期では、64組織につき１件）

 

ランサムウェアから どうやって身を守るか
1. 強固なデータバックアップ ランサムウェアの目的は、暗号化されたデータへのアクセスを回復するため身代金を支払うよう被害者に強要することです。しかし、この手口が有効なのは、ターゲットが実際にデータへのアクセスを失った場合のみであり、強固で安全なデータバックアップソリューションは、ランサムウェア攻撃による影響を軽減する有効な手段になります。
2. セキュリティ意識向上トレーニング 身代金要求型のマルウェアを拡散させる最も一般的な手段として、フィッシングメールがあります。ユーザを騙してリンクをクリックさせたり悪質な添付ファイルを開かせたりすることで、サイバー犯罪者は従業員のコンピューターへのアクセスを獲得し、ランサムウェアプログラムのインストールと実行を可能にします。ランサムウェアから組織を守るためには、サイバーセキュリティに対する意識向上のトレーニングが必要不可欠です。
3. 強力かつ安全なユーザ認証 強力なパスワードポリシーの設定、多要素認証の義務化、そしてログイン情報を盗むために設計されたフィッシング攻撃についての従業員への教育、これらはすべて組織のサイバーセキュリティ戦略において極めて重要な要素です。
4. 最新版のパッチ コンピューターを常に最新の状態に更新し、セキュリティパッチ、特に「重要」と表示されたパッチを当てることは、組織のランサムウェアに対する脆弱性を抑える役に立ちます。

まとめ
本リサーチでは、ランサムウェア攻撃の攻撃者側と被害者側、双方の視点について深く考察しています。私どもの調査を通して、攻撃者側は犯行計画を実行するにあたり相当多くの考えを巡らせ、身代金の支払いについて迅速かつ効果的に交渉しようとしていることが分かります。一方で被害者側は、時に攻撃者と交渉しながらも、要求される額に加えて更なる金銭的損害を被っています。平均的なデータからも、また具体的な事例からも、そうした二次的なコストのほうが奪い取られた金額よりはるかに高額なことが分かります。

ランサムウェアの攻撃者側も被害者側も互いに相手の半歩先を行こうとするため、ランサムウェアをめぐる情勢は常に進化し続けています。私たちの調査結果は、攻撃を受けた企業が何とか適応し、対応方針を改善している一方で、サイバー犯罪者側もまた攻撃や交渉のプロセスを状況に適合させていることを示しています。ランサムウェアの被害者が忘れてはならないのは、これが現実の人間によって実行されている人為的な脅威であるということです。したがって、組織が可能な限り最善の結果を確保するためには、明確なコミュニケーションを実践し、慎重に交渉の計画を立てることが何より重要となります。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloudに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ：https://research.checkpoint.com/
Twitter：https://twitter.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。チェック・ポイントのソリューションは、第5世代のサイバー攻撃からお客様を守り、マルウェア、ランサムウェアを含む多様な攻撃に対して業界トップクラスの捕捉率を誇っています。第5世代の脅威に対応するマルチレベルの統合セキュリティアーキテクチャInfinityにより、企業のクラウド、ネットワーク、モバイルデバイスが保有する情報を保護します。チェック・ポイントは、最も包括的かつ直感的なワンポイントコントロールのセキュリティ管理システムを提供し、10万を超えるあらゆる規模の企業および組織のセキュリティを維持しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan