世界的に、ランサムウェアでの被害が大きく拡大したきっかけは2017年5月 WannaCry、実際に数値としてどの位インパクトがあったのか、被害にあっていない側からするとイメージしづらいのが実際のところかもしれません。定量的データとして分析することは難しいですが、海外で予測されている金額や被害ニュース内容など集めていくと、ある程度の規模感と被害に影響を及ぼす金額の輪郭を捉えるこに試みてみました。これによって、事前にセキュリティ対策をすることの意義や価値を、経営層にも理解してもらえる一助になればと思います。
1. ランサムウェアの被害金額は?
ここでは、大きな被害が発生した場合、特定企業や組織の定量的な額が公開されている情報や、各種の統計情報から、被害額のイメージを掴んでみたいと思います。ランサムウェアの総数が増加し、支払額も増加傾向にあることから、今後も総額が増えていくことが予想されます。
ランサムウェア被害総額全体で、2019年には 115億ドルと予測
サイバーセキュリティに特化した調査会社Cybersecurity Venture のレポートによると、ランサムウェアによる被害総額は、2015年は約3億ドル程度だったものから、2017年 50億ドル、2019年には、115億ドルになると予測しています。
WannaCry の被害で40億ドルとの算出
サイバーリスク関連のデータ収集・分析およびリスク評価モデル開発に専門性を有する Cyence 社によると、2017年5月に世界的に感染が拡がった WnnaCry で、$4B(40億ドル)の被害額の可能性を算出しています。
A.P. Moller-Maersk社の NotPetya による被害額は、2~3億ドル
2017年6月に欧州を中心に感染が拡大したNotPetyaの被害を受けたことを公表しています。4か国の港湾ターミナルのオペレーションで遅延や混乱で数週間にわたり業務に影響があったとのことです。NotPetya 感染による財務的影響は、2億ドル~3億ドルとのこと。年間売上が87億ドルから96億ドルに増加する一方で、NotPetya関連の費用の当期損失 2.6億ドルを計上しています。
台湾の銀行 (遠東國際商業銀行) での感染ケース、50万ドル紛失
もう1件 NotPetya 関連で、台湾の遠東國際商業銀行の例です。120万ドルの怪しいトランスファー送金があり、後に50万ドルを紛失したと報告 (感染の詳細は、英語のMcAfee Blog記事に詳しい)
ランサムウェアの身代金の額の相場 500~2,000ドル
2017年9月Datto社のレポートによると、身代金の平均額は、47% パーセントは、500~2,000ドルの平均身代金の金額を支払うことを要求されています。
2. どのような影響をうけるのか
感染してしまったら、データにアクセスできなくなるので通常の業務が全くできなくなる、端末を利用していた人の生産活動が停止してしまうことと、元の業務ができるまでの復旧にかかる時間、これらのロスの影響が大きいでしょう。同時に、データが盗まれてしまっている可能性高いです。
先ほどの身代金の数値を取り上げて、単純に被害の計算をシュミレーションしてみましょう。仮に請求額を1,000ドルとして、組織内に100台のPC端末があり、10%の10台が感染したとしたら、10,000ドルの支払いを請求されるが発生するということになります。身代金を支払ったからといって、すぐにデータをもとに戻すための復号鍵が提供される保証はありません。
米国ロードアイランド州の弁護士事務所の例が、それに該当します。
弁護士事務所が、保険会社に対してランサムウェア被害の損害賠償請求額での例です。2万5千ドルの身代金を支払って、復号鍵を犯罪者から入手したそうですが、それだけでは上手く復旧ができず、結果的に復旧に3か月かかり、その間、弁護士活動に影響があり70万ドル分の影響がでて、被害請求の訴えを起こしています。
3. 被害にあった場合のリスクを想定することの重要性
3-1 被害にあった場合のリスク
ランサムウェアに感染したら、具体的にどのような被害になり、どんな影響があるか、会社としてリスクを想定しておくことが重要でしょう。従来、企業の事業継続性を維持するために、事業リスクを把握する目的で、リスクアセスメントが行われてきました。今後、被害の拡大が予想されているサイバーセキュリティ分野も、事業継続性のリスク領域の1つとして、リスクアセスメント含めて検討しないといけない時期にあるといえでしょう。
直近のランサムウェアに対するリスクをイメージしてみて、どんな被害にあうか、どこをまずしっかり守る必要があるのか等を洗い出すことで、組織としての対策も取りやすくなるはずです。
サイバーセキュリティ対策の重要性の高まりからか、2015年12月には、経済産業省から「サイバーセキュリティ経営ガイドライン」が公開されました。ガイドラインでは、初めてサイバーセキュリティ対策に経営側も積極的に関わる必要性を説いています。ガイドラインは、2017年11月に改訂版 ver2.0 に更新されています。リスク把握や対応策の必要性なども上げています。政府関連のガイドラインでは、初めて経営者のセキュリティへの積極的な取り組みを提言したものだと思います。
もし、ランラムウェアに感染したら、その時点で端末を利用できなくなるので、利用していた社員の業務は、もとの状態に戻るまで何もできなくなるわけです。つまり、生産性がゼロになる同じことです。感染端末数と停止する時間がどの位になるのか、さらに元の状態に戻すまでにかかる手間・時間・費用と考えてみれば、ある程度の影響額のイメージわくものかと思います。
また、Ponemon Institute の統計では、ランサムウェア感染後に約7割以上の企業は、11時間以上の時間を費やしています。営業時間で考えると、少なくとも1日以上の時間を費やしていることになります。
別途統計では、ランサムウェア被害から復旧までに平均23日間という統計(2017 Cost of Cyber Crime Study Accenture / Ponemon Institute (PDF))も出ています。仮にPC台だけ感染したとして、23日間何らかの業務ができないとしたら、それが請求業務や決算業務だったりしたら、リスクは高いですね。
3-2 ランサムウェアの被害項目 (可能性)
ここで、ランサムウェアに感染した場合に想定される被害項目 (可能性) を挙げてみました。これらの項目を各企業や事業でイメージされると、どの位の被害につながるかイメージがつかめるのではないでしょうか。
・被害を受けてしまったデータ、失われたデータ
・被害端末の稼働停止時間
・生産性の損出
・攻撃後に発生する通常業務の混乱
・原因調査解明のためのフォレンジック調査
・抜かれてしまったデータやシステムの復旧や削除
・企業イメージの低下、悪い評判
・攻撃を防ぐための従業員へのセキュリティ教育
各組織や業界によって、上記の項目で思い当たるものを、ある程度推測できるのではないでしょうか。そこで、完全ではなくとも、被害額を試算して影響度をイメージすることは可能です。サイバー攻撃のような、見えない攻撃に対してのインパクトの具体的なイメージを持つ練習をすることは、今後の未知の脅威への対応にも役に立つスキルになると思います。見えない脅威への想像力や変化への対応力が求められているのかもしれません。
4. ランサムウェアは今後も進化していく
McAfee Labs 2018年の脅威予測では、従来の脅迫型ランサムウェアの標的、テクノロジー、目的が変化していくと予測をしています。
身代金の支払い額が減少していることからも、攻撃側は対象や目的も変わっていくであろうことを予測しています。
マカフィーでは、脅威対策ライフサイクルというセキュリティコンセプトを提唱しており、これをベースにしたソリューションを提供しています。未知の脅威により柔軟で効果的な対応を目指しています。
著者:マカフィー株式会社 マーケティング本部
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)