Proofpoint Blog 26回「世界で最もランサムウェア身代金を支払わない国ニッポン」 | ScanNetSecurity
2024.02.22(木)

Proofpoint Blog 26回「世界で最もランサムウェア身代金を支払わない国ニッポン」

日本の身代金の支払い率は 15 か国中、18 % ともっとも低く、しかも 3 年連続で減少(2020 年は 30 % 、2021 年は 33 % )している。しかし、世界の支払い率は日本とは逆行しており、支払い率は 2 年連続で増加している。

脆弱性と脅威
(イメージ画像)
  • (イメージ画像)
  • 図1:2022年ランサムウェア感染率 15か国比較
  • 図2:2022年ランサムウェア身代金支払率 15か国比較
  • 図3:2022年ランサムウェア身代金支払の結果 15か国比較
  • 図4:2022年サイバー保険加入率 15か国比較
  • 図5:2022年サイバー保険による補償 15か国比較
  • 調査対象国と調査対象

●実戦闘でもサイバー攻撃でも、民間軍事会社が活躍

 古くから民間傭兵は戦争の場面で活用され、軍のさまざまな業務を委託されている。しかし、ロシアによるウクライナ侵攻では、ワグネルをはじめとする民間軍事会社が、武器や食料の輸送といった非戦闘任務だけではなく、実際に前線で戦闘そのものをおこなうことも浮き彫りとなった。しかも正規軍より成果をあげていたことも、私たちの目を驚かせた。さらにワグネルの創設者であるプリゴジン氏が、ロシア軍傘下に編入するのを拒んで乱をおこすなど、民間傭兵と正規軍とのパワーバランスが注目されている。

 そんな中、サイバー空間においても、サイバーの民間ハッカーがアンダーグラウンドで作り上げたエコシステムが華麗に進化し、正規軍ともいえる APT(Advanced Persistent Threat: 国家を後ろ盾にするハッカーグループ)を支えている。民間軍事会社が軍を支える構図は、リアルな世界でもサイバーの世界でも変わらない。

 サイバー犯罪エコシステムにより、多くのハッキングツールやシステムが商用化され、誰でもが安価な費用で、TORブラウザさえあればサイバー犯罪に足を踏み入れることができるようになった。ランサムウェア・アズ・ア・サービスを使うことにより、データを暗号化したり、窃取して外部に公開するぞと脅すことによって、身代金を要求することへの技術的なハードルが大きく下がった。さらに多要素認証までも迂回して、認証情報を窃取する高度なフィッシング・アズ・ア・サービスも台頭。その攻撃量は劇的に増えている。メール詐欺やランサムウェア攻撃などが目立つ中、本ブログでは、プルーフポイントが実施した日本を含む主要 15 か国へのランサムウェアに関する調査結果を State of the Phish 2023 のレポートの中からご紹介する。

●ランサムウェア攻撃の着弾率、もっとも多いのは米国

 サイバー犯罪エコシステムの醸成と、地政学的な緊張により、日々サイバー攻撃をニュースで目にするようになった。プルーフポイントがおこなった調査によると、世界の主要 15 か国中、2022 年にもっともランサムウェア攻撃を受けたのはアメリカ。1 年間の間に少なくとも 1 度はランサムウェアに感染した企業は、89 %にのぼる(昨年の 72 % から 17 ポイント上昇)。これは地政学的な面も影響しており、ロシアを後ろ盾とする攻撃グループが、米国の組織や企業をターゲットにしたことも影響していると考えられる。日本のランサムウェア感染率は 68 % で、15 か国平均の 64 % よりは少し多い程度だが、昨年度より 18 ポイントも増えている。

図1:2022年ランサムウェア感染率 15か国比較

●日本は世界の流れに逆行し、身代金を支払わない優秀国

 サイバー攻撃を 100 % 防御することは難しいため、攻撃を受けたときの回復力(レジリエンス)が各組織には求められている。そういった中で、私が知る範囲では、ランサムウェア攻撃を受けた際に身代金を支払うべきか?支払わぬべきか?という問いをあらかじめ経営会議に問うている日本企業は多い。

 そういった事前の取り決めや対策の成果もあってか、日本の身代金の支払い率は 15 か国中、18 % ともっとも低く、しかも 3 年連続で減少(2020 年は 30 % 、2021 年は 33 % )している。しかし、世界の支払い率は日本とは逆行しており、支払い率は 2 年連続で増加している。

図2:2022年ランサムウェア身代金支払率 15か国比較

 日本におけるランサムウェアへの身代金支払い率が、他の国と比べて大きく少ないのは、「犯罪組織に金銭を支払うべきではない」という日本人としてのモラルや規制に従うという面もあるほか、被害が限定されていて身代金を払う必要がなかったり、バックアップで復旧できたということも考えられるだろう。

●身代金の支払いで、再び攻撃のカモになる可能性

 身代金を支払うのか支払わないのかを検討する際に考えていただきたいデータのひとつに、支払ったところでデータが本当に復旧されるのかどうかだ。支払わずにデータ復旧ができない場合のダメージが大きすぎるなど、やむをえない理由で支払わなければならない場面もあるかもしれない。

 しかし以下のグラフを見ていただくと、一度の支払いだけでデータを復旧することができるのは、2022 年の実績では約半分でしかないことが分かる。

図3:2022年ランサムウェア身代金支払の結果 15か国比較

 コイン投げの確率とほぼ同じで、自分でコインをトスすることもできないため、裏がでるのか表がでるのかは攻撃者次第。
身代金を支払ったところで、データが戻ることを完全に信用できるわけでもなく、一度支払ったあとに再びデータを外部に公開するぞ、と二重にも三重にも脅迫されることもありえる。何より、資金が犯罪グループにわたってしまうため、犯罪の醸成につながってしまうのはやっかいだ。

 さらに一度身代金を支払ったことにより、「身代金を支払う企業である」というレッテルがつけば、再び攻撃者の標的となる可能性は高くなる。あるランサムウェア攻撃グループに襲われたゲーム企業やグローバル製造業が、時間をあけずに別のランサムウェアグループからの攻撃を受けたことも記憶に新しい。

●サイバー保険に加入していることを外部にもらすとNG

 ランサムウェア攻撃の対策として、サイバー保険に加入している企業も多いかと思う。
「サイバー保険がランサムウェア攻撃を助長する」という説がささやかれることが多いが、今回の調査で身代金を支払った企業のうちの 10 社に 9 社がサイバー保険に入っていたことが分かった。

図4:2022年サイバー保険加入率 15か国比較

 サイバー保険に入っている会社とそうでない会社におけるランサムウェア攻撃の比較が必要ではあるが、図4 は、サイバー保険に加入していれば、身代金を払いやすいという通説を支えるデータになりえるかもしれない。

図5:2022年サイバー保険による補償 15か国比較

 また身代金を支払いかつサイバー保険に加入していた組織のうち、44 % が被害額の全額がサイバー保険により補填され、38 % が一部補填されたと回答している。残る 17 % は保険金が支払われなかった。

 Conti というランサムウェアグループから流出した攻撃者内部のチャットからは、親分に相当する人物が、ターゲット企業がサイバー保険に加入しているかを調べるようメンバーに指示をしていたことが判明している。サイバー保険に加入している組織を狙ったほうが、身代金を支払ってくれる可能性が高くなるのであれば、攻撃者にとって、サイバー保険に入っているか入っていないかはターゲットを決める上で重要な要素の一つになるだろう。
また、もしあなたの組織がサイバー保険に入る/すでに入っているのであれば、その情報を極力外部にもらさない工夫をすることも重要である。サイバー保険に入っていれば、攻撃者に狙われやすくなるという可能性もあるほか、あるサイバー保険では、外部にサイバー保険に入っていることを知らせてしまうと補償が無効になると記載されているものもあるので注意が必要だ。

●調査データについて

 本調査の結果についてまとめたレポート 2023 State of the Phish(ユーザーの意識、脆弱性およびレジリエンスの詳細調査)はこちらよりダウンロード可能です。ランサムウェアに関する統計のほか、BEC や内部脅威に関するデータについても掲載されています。

《日本プルーフポイント株式会社 チーフエヴァンジェリスト 増田 幸美(そうた ゆきみ)》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. Windows DNSの脆弱性情報が公開

    Windows DNSの脆弱性情報が公開

  2. Unboundの脆弱性情報が公開

    Unboundの脆弱性情報が公開

  3. Knot Resolverの脆弱性情報が公開

    Knot Resolverの脆弱性情報が公開

  4. PowerDNS Recursorの脆弱性情報が公開

  5. ISC BIND に複数の脆弱性、バージョンアップを強く推奨

  6. マイクロソフトが 2 月のセキュリティ情報を公開、CVE ベースで 73 件の脆弱性に対応

  7. Fortinet 製 FortiOS SSL VPN にリモートからのコード実行の脆弱性

  8. apport-cli において sudo での実行が許可されている場合に権限が昇格可能となる脆弱性(Scan Tech Report)

  9. レバノン首都国際空港にハッキング/米国証券取引委員会の X アカウント乗っ取り/SharePoint 脆弱性悪用 ほか [Scan PREMIUM Monthly Executive Summary 2024年1月度]

  10. IPA セキュリティ10大脅威 ~ 顔ぶれ前年と変わらず 個人対象脅威の順位廃止

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×