被害が尋常ではないランサムウエア、復旧費用1000万円超や業務ストップも当たり前。

〇 近年、ランサムウエア攻撃やその被害に関して見聞きする機会が増えているはずだ。実際、日本国内でもランサムウエア攻撃による被害は増加の一途をたどっている。

その対策に既に着手している企業や組織が多数あるが、残念ながら対策が適切ではないケースも見受けられる。その原因について筆者は、ランサムウエアによる攻撃手法や起こりえる被害を企業が十分に理解できていないことだと考えている。

そこで本特集では、ランサムウエアに対する3つの「よくある誤解」について解説していく。今回は、「ランサムウエアはマルウエアの1種にすぎず、特別な対策は必要ない」という考え方が多分に誤解である理由を、ランサムウエアの特徴とともに説明していく。

決定的な違いはデータを使えなくされ身代金を要求されること。

ランサムウエアは、「マルウエア」の一種である。マルウエアはコンピュータに入り込み悪事を働くソフトウエアやコードの総称で、昔からあるコンピュータウイルスもマルウエアの一種である。

ランサムウエアとほかのマルウエアとの違いは、身代金を意味する「ランサム（Ransom）」の部分にある。ランサムウエアはランサムと「ソフトウエア（Software）」からなる造語で、攻撃対象の端末やサーバーに保存されているデータを暗号化して、そのデータを再びアクセスできる状態にすることと引き換えに身代金を要求する。

マルウエアの攻撃によって受ける被害は様々だが、ランサムウエアの場合は「データが使えなくなる」「データを復旧するために身代金を要求される」という被害を受けることになる。

しかし、身代金を支払ってもデータを必ず復旧できるとは限らない。セキュリティベンダーの米Proofpoint（プルーフポイント）が公表した統計データによると、2020年に日本国内で身代金の支払いに応じた組織は33％という結果が出ている。そのうち初回の支払いでデータを回復できた企業は45％で、残る55%は再度の支払い要求を受けている。そしてこの55％のうちの11％は、追加の支払いを拒否し、データの復旧を諦めたという^※1。

^※1 プルーフポイント「身代金を支払うのは正解か？ ー ランサムウエア支払い結果７か国比較から考えるサイバー犯罪エコシステムへの対処」（https://www.proofpoint.com/jp/blog/threat-insight/is-it-right-to-pay-the-ransom）

その身代金は反社会勢力の資金源となる恐れがあるため、被害を受けた企業はビジネスの存続とモラルの狭間で苦悩することとなる。

脅しの手口が多様化する最悪の展開に。

さらに昨今は、ランサムウエア攻撃の手法が多様化し、被害が増加している。

特に2019年末ごろから流行している「二重脅迫型ランサムウエア」は、データの暗号化と身代金の要求に加えて、感染した端末・サーバー内のデータを公開すると脅迫し、金銭を要求してくる。身代金を支払い、データを復旧できた場合でも、二重脅迫によりさらなる金銭を要求されるケースが増加してきているのだ（図1）。警察庁は、報告があり手口を確認できたランサムウエア被害のうち65％が、二重脅迫の手口によるものだと公表している^※2。

^※2　警察庁「令和４年上半期におけるサイバー空間をめぐる脅威の情勢等について」（https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_kami_cyber_jousei.pdf）

 

図1、二重脅迫型ランサムウエアの攻撃手口。

隠密行動はせずとにかく目立つ。

不正アクセスや情報の窃取を目的としたマルウエアは、攻撃対象に気付かれないように感染し、組織内に長い期間潜伏する。重要な情報へのアクセス権さえ奪取できれば、いたずらに感染範囲を広げる必要はないため、感染範囲は割と局所的となる特徴がある。

一方ランサムウエアは、目的となる身代金の支払いを促すポップアップを表示するなど、攻撃の事実に気付かせるように動作する。感染範囲が広いほど要求できる身代金の額を増やせるため、組織全体に感染を拡大するよう動作する。

さらに金銭獲得が目的とするなら、窃取した情報を何らかの形で換金する必要があるマルウエアに比べ、攻撃対象に身代金を要求するランサムウエアの方が合理的である。このような、攻撃が目に見えやすい、感染が広範囲にわたる、金銭獲得を目的とした攻撃者に取って都合が良いといった特徴があることが、ランサムウエアが攻撃手法として広がり被害が拡大している要因であると推測される（表1）。

	ランサムウエア	ほかのマルウエア
目的	身代金の取得 情報の窃取	情報の窃取など
攻撃の特徴	身代金の要求額を大きくするため感染拡大を狙う	情報の窃取を主に目的とするため、気付かれないように潜伏
被害範囲	中～大規模	割と局所的

表1、ランサムウエアとほかのマルウエアの特徴比較。

復旧コストが半数以上の企業で1000万円超という統計も。

では、ランサムウエア攻撃により具体的にどのような被害が発生するのだろうか。

ランサムウエア攻撃によって組織が支払わなければならないコストは、大きく3つあると考える。1つめは暗号化解除のための身代金、2つめは業務データが暗号化され業務が停止してしまった場合の機会損失額だ。そして3つめはシステム復旧にかかるコストである。

英Sophos（ソフォス）が公表した統計によると、世界31カ国の中規模組織に対するランサムウエア攻撃の身代金の支払額は、1組織につき平均81万2360米ドル（約1億1400万円）だという。これは前年の5倍近くであり、100万米ドル以上の身代金を支払った組織の割合も3倍に増加した^※3。ランサムウエア攻撃の被害からの復旧には、平均1カ月を要し、負担費用は平均140万米ドルだったという。

^※3ソフォスの年次調査「ランサムウェアの現状2022年版」で66%の組織がランサムウェアの攻撃を受けたことが明らかに（https://www.sophos.com/ja-jp/press-office/press-releases/2022/04/ransomware-hit-66-percent-of-organizations-surveyed-for-sophos-annual-state-of-ransomware-2022）

警察庁が公表している統計によると、ランサムウエア攻撃を受けた組織の約半数以上で1000万円以上の復旧コストがかかったという。そのうち約18％の組織では、5000万円以上かかっている^※2。

ランサムウエア攻撃の高度化と複雑化により、企業が被る復旧期間やコストは増加傾向にある。一般的なマルウエアと異なり、時間とコストの両面で大きなダメージを受けることをお分かりいただけたと思う。