メディア
連載
» 2022年10月14日 07時00分 公開

身代金「以外が」怖いランサムウェア攻撃、長期的な悪影響とは

ランサムウェア攻撃の被害として最初に頭に浮かぶのは、身代金だ。Sophosによれば平均して約17万ドルだという。だが、身代金とは別に発生するコストもある。BlackFogによればコストの総額はその10倍にも及ぶ。Covewareの調査によれば、ランサムウェア攻撃を受けた企業の規模は11〜100人が4割を占める。つまり、10倍ものコストに耐えられない可能性がある。どうすればよいのだろうか。

[キーマンズネット]

 エンドポイント対策に向けたサイバーセキュリティ製品を提供するBlackFogは、2022年10月12日(現地時間)、ランサムウェア攻撃を受けた企業が、長期的にどのような影響を受けるのかについて発表した。

 ランサムウェア攻撃からの復旧は容易ではなく、人手やコストもかかる。そして、ビジネスを再開できたとしても、課題がある。

 ランサムウェアの攻撃による被害は、すぐには現れない場合がある。被害が長期化し、数カ月から数年にわたって企業に影響を与える可能性があるのだ。最悪の場合、ランサムウェアの攻撃が企業にとって致命的なダメージとなってしまい、継続的な課題に対処しきれず、倒産に追い込まれる可能性すらある。

 被害が長期化するのは、なぜだろうか。主に4つ考慮しなければならない点がある。

(1)長期的な財務上のコストが発生する

 最初に考慮しなければならない財務上のコストは、身代金だ。だが、それで終わりではない。攻撃を受けた後、それ以外にも多数の費用が発生する。

 企業のITシステムが回復するまでの間、店舗や倉庫、Webサイトを閉鎖しなければならない場合がある。これはビジネス上の損失となる。さらに、データ流出に対する行政上の罰金や顧客への賠償金が必要になるかもしれない。加えて今回のインシデントを調査し、今後も続くであろう将来の攻撃を防ぐためにセキュリティを改善しなければならない。ソフトウェア、ハードウェアはもちろん、外部のコンサルタントを雇用する費用も考慮に入れる必要があるだろう。

 これらの費用を足し合わせると巨額な財務上のコストとなる。セキュリティソフトウェアやハードウェアを開発するSophosによれば、身代金自体は平均17万404ドルに過ぎない。だが、ランサムウェア攻撃の全体コストは2020年から2021年にかけてほぼ倍増し、185万ドルに達する。これは身代金の10倍以上のコストだ。ランサムウェア保険などに加入していれば、これらの一部をカバーできる。だが、全てを完全にまかなうことは難しい。

(2)風評被害が予想以上に大きい

 長期的な課題はまだある。風評被害だ。特に、顧客データを流出させてそれを公開するタイプのランサムウェア攻撃を受けた場合、風評被害がより大きくなる。ある日付までに身代金を支払わなければ組織内部のデータを公開するというランサムウェア攻撃だ。

 Cisco Systemsによれば、3社に1社はデータ侵害の結果として風評被害を報告している。

 風評被害は企業にとって継続的な損害となる。もしも顧客が「自社の個人データや財務データを扱うA社を信頼できなくなった」と考えたとしよう。その企業との取引を継続するだろうか。実際、Forrester Researchが米国と英国の企業を対象に実施した調査では、38%の企業がセキュリティ侵害の結果としてビジネスを失っている。

 クラウド型決済ソリューションを提供するPCI Palが発表した数字によると、消費者はデータ侵害に対する企業の責任を追及し、特に米国の消費者にその可能性が高いことが分かる。米国では消費者の5分の4は、「情報漏えいがあった企業への支出を事件後少なくとも数カ月間停止する」と回答し、5人に1人以上が「二度と戻らないだろう」と答えている。

 対企業、対個人、どちらのビジネスであっても風評被害は予想以上に大きい。

(3)データ流出が継続的な被害を生む

 ランサムウェア攻撃によってデータが盗まれた場合、長期的な被害は企業の評判低下や顧客の喪失にとどまらない。例えば、企業秘密や知的財産が攻撃の後にオンラインで公開されたり、売りに出されたりした場合、どうなるだろうか。

 例えば、競合他社に対して、自社の研究開発計画に関する情報を与えてしまい、先を越される可能性がある。自社の計画を変更しなければならなくなったり、開発中のプロジェクトが中止になったりするだろう。

 一度流出したデータは、たとえ身代金を支払っても攻撃者が削除するとは限らない。流出データがまだ公開されていないとしても、企業はその情報が他社にわたることを念頭に置いて計画を考え直さなければならなくなる。

(4)二度あることは三度ある

 長期的な課題はまだある。攻撃グループは1回の攻撃で済ませることはほとんどない。特に企業が身代金を支払うことを選択した場合は、再度狙われてしまう。なぜなら自社が標的として「おいしい」ことが分かってしまうからだ。

 BlackFogによれば、身代金を支払った企業の80%は再び標的にされる。同じ攻撃グループはもちろん、身代金を支払った事実が公になると、他の犯罪者からも注目されてしまう。

 企業が繰り返し攻撃を受ければ、ダウンタイムがさらに長くなり、ビジネスが失われる可能性は高くなる一方だ。さらにサイバーセキュリティの防御にかける費用を大幅に増やすことになる。

 身代金をなぜ支払ってはいけないのかが、以上の議論で分かる。身代金を支払えば、社内のデータを取り返してビジネスを素早く再開できるかもしれない。だが、長期的なコストを考えると、全く割に合わない。

最初の「一撃」を何としても避ける

 BlackFogの結論はこうだ。データ流出防止ツールなどのランサムウェア対策技術に投資し、最初の一撃を何としても避けることが、最善の策となる。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。