世界で最もランサムウェア身代金を支払わない国ニッポン

実戦闘でもサイバー攻撃でも、民間軍事会社が活躍

古くから民間傭兵は戦争の場面で活用され、軍のさまざまな業務を委託されている。しかし、ロシアによるウクライナ侵攻では、ワグネルをはじめとする民間軍事会社が、武器や食料の輸送といった非戦闘任務だけではなく、実際に前線で戦闘そのものをおこなうことも浮き彫りとなった。しかも正規軍より成果をあげていたことも、私たちの目を驚かせた。さらにワグネルの創設者であるプリゴジン氏が、ロシア軍傘下に編入するのを拒んで乱をおこすなど、民間傭兵と正規軍とのパワーバランスが注目されている。

そんな中、サイバー空間においても、サイバーの民間ハッカーがアンダーグラウンドで作り上げたエコシステムが華麗に進化し、正規軍ともいえるAPT（Advanced Persistent Threat: 国家を後ろ盾にするハッカーグループ）を支えている。民間軍事会社が軍を支える構図は、リアルな世界でもサイバーの世界でも変わらない。

サイバー犯罪エコシステムにより、多くのハッキングツールやシステムが商用化され、誰でもが安価な費用で、TORブラウザさえあればサイバー犯罪に足を踏み入れることができるようになった。ランサムウェア・アズ・ア・サービスを使うことにより、データを暗号化したり、窃取して外部に公開するぞと脅すことによって、身代金を要求することへの技術的なハードルが大きく下がった。さらに多要素認証までも迂回して、認証情報を窃取する高度なフィッシング・アズ・ア・サービスも台頭。その攻撃量は劇的に増えている。メール詐欺やランサムウェア攻撃などが目立つ中、本ブログでは、プルーフポイントが実施した日本を含む主要15か国へのランサムウェアに関する調査結果をState of the Phish 2023のレポートの中からご紹介する。

ランサムウェア攻撃の着弾率、もっとも多いのは米国

サイバー犯罪エコシステムの醸成と、地政学的な緊張により、日々サイバー攻撃をニュースで目にするようになった。プルーフポイントがおこなった調査によると、世界の主要15か国中、2022年にもっともランサムウェア攻撃を受けたのはアメリカ。１年間の間に少なくとも１度はランサムウェアに感染した企業は、89%にのぼる（昨年の72%から17ポイント上昇）。これは地政学的な面も影響しており、ロシアを後ろ盾とする攻撃グループが、米国の組織や企業をターゲットにしたことも影響していると考えられる。日本のランサムウェア感染率は68%で、15か国平均の64%よりは少し多い程度だが、昨年度より18ポイントも増えている。

図１：2022年ランサムウェア感染率 15か国比較

日本は世界の流れに逆行し、身代金を支払わない優秀国

サイバー攻撃を100%防御することは難しいため、攻撃を受けたときの回復力（レジリエンス）が各組織には求められている。そういった中で、私が知る範囲では、ランサムウェア攻撃を受けた際に身代金を支払うべきか？支払わぬべきか？という問いをあらかじめ経営会議に問うている日本企業は多い。

そういった事前の取り決めや対策の成果もあってか、日本の身代金の支払い率は15か国中、18%ともっとも低く、しかも３年連続で減少（2020年は30%、2021年は33%）している。しかし、世界の支払い率は日本とは逆行しており、支払い率は２年連続で増加している。

図２：2022年ランサムウェア身代金支払率 15か国比較

日本におけるランサムウェアへの身代金支払い率が、他の国と比べて大きく少ないのは、「犯罪組織に金銭を支払うべきではない」という日本人としてのモラルや規制に従うという面もあるほか、被害が限定されていて身代金を払う必要がなかったり、バックアップで復旧できたということも考えられるだろう。

身代金の支払いで、再び攻撃のカモになる可能性

身代金を支払うのか支払わないのかを検討する際に考えていただきたいデータのひとつに、支払ったところでデータが本当に復旧されるのかどうかだ。支払わずにデータ復旧ができない場合のダメージが大きすぎるなど、やむをえない理由で支払わなければならない場面もあるかもしれない。

しかし以下のグラフを見ていただくと、一度の支払いだけでデータを復旧することができるのは、2022年の実績では約半分でしかないことが分かる。

図３：2022年ランサムウェア身代金支払の結果 15か国比較

コイン投げの確率とほぼ同じで、自分でコインをトスすることもできないため、裏がでるのか表がでるのかは攻撃者次第。
身代金を支払ったところで、データが戻ることを完全に信用できるわけでもなく、一度支払ったあとに再びデータを外部に公開するぞ、と二重にも三重にも脅迫されることもありえる。何より、資金が犯罪グループにわたってしまうため、犯罪の醸成につながってしまうのはやっかいだ。

さらに一度身代金を支払ったことにより、「身代金を支払う企業である」というレッテルがつけば、再び攻撃者の標的となる可能性は高くなる。あるランサムウェア攻撃グループに襲われたゲーム企業やグローバル製造業が、時間をあけずに別のランサムウェアグループからの攻撃を受けたことも記憶に新しい。

サイバー保険に加入していることを外部にもらすとNG

ランサムウェア攻撃の対策として、サイバー保険に加入している企業も多いかと思う。
「サイバー保険がランサムウェア攻撃を助長する」という説がささやかれることが多いが、今回の調査で身代金を支払った企業のうちの10社に9社がサイバー保険に入っていたことが分かった。

図４：2022年サイバー保険加入率 15か国比較

サイバー保険に入っている会社とそうでない会社におけるランサムウェア攻撃の比較が必要ではあるが、図４は、サイバー保険に加入していれば、身代金を払いやすいという通説を支えるデータになりえるかもしれない。

図５：2022年サイバー保険による補償 15か国比較

また身代金を支払いかつサイバー保険に加入していた組織のうち、44%が被害額の全額がサイバー保険により補填され、38%が一部補填されたと回答している。残る17%は保険金が支払われなかった。

Contiというランサムウェアグループから流出した攻撃者内部のチャットからは、親分に相当する人物が、ターゲット企業がサイバー保険に加入しているかを調べるようメンバーに指示をしていたことが判明している。サイバー保険に加入している組織を狙ったほうが、身代金を支払ってくれる可能性が高くなるのであれば、攻撃者にとって、サイバー保険に入っているか入っていないかはターゲットを決める上で重要な要素の一つになるだろう。
また、もしあなたの組織がサイバー保険に入る/すでに入っているのであれば、その情報を極力外部にもらさない工夫をすることも重要である。サイバー保険に入っていれば、攻撃者に狙われやすくなるという可能性もあるほか、あるサイバー保険では、外部にサイバー保険に入っていることを知らせてしまうと補償が無効になると記載されているものもあるので注意が必要だ。

調査データについて

本調査の結果についてまとめたレポート2023 State of the Phish（ユーザーの意識、脆弱性およびレジリエンスの詳細調査）は以下よりダウンロード可能です。ランサムウェアに関する統計のほか、BECや内部脅威に関するデータについても掲載されています。