Photo by Pictures of Money

いまや多くの人に知れ渡った「ランサムウェア」。パソコンやスマートフォンなどのデータ、もしくは端末自体を暗号化して使用不能にし、それらの復号化と引き替えに身代金を要求する不正プログラムだ。しかし、被害としてどれほどのインパクトがあったのか、経験したことがない人からすると、イメージしづらいかもしれない。

たとえば、2017年に世界中で猛威を振るった「WannaCry」。日本でも製造業や運輸などの主要業界で被害が報告されるなどの影響を及ぼし、記憶に新しい人もいるだろう。こちらの場合、世界的に40億ドルもの被害を生んだという報告がある。

2017年6月には、WannaCryと同じくネットワーク経由で侵入・拡散できる性質を持ったランサムウェア「Petya」の亜種（「NotPetya」などと呼ばれる）による被害も広がった。こちらも2～3億ドルもの被害額だという。

なぜランサムウェアを利用する攻撃者が増えたのか。理由の一つとして、WannaCryやNotPetyaなどは、感染するとネットワーク内でほかのマシンへの感染拡大を図る特徴を持っていたことが挙げられる。これらのランサムウェアは、特に企業や組織に対して効率的に攻撃できる。サイバー攻撃をビジネスと考える攻撃者は「収益性」を重視するため、2018年はさらに収益性の高い企業や組織がターゲットになるだろうという予測もある。

もっとも、ランサムウェアは身代金の要求がすべてと考えると、状況を見誤るかもしれない。NotPetyaは、表向きは身代金を要求するランサムウェアだったが、実際にはデータの回復（暗号化したデータの復号）ができないようにファイルシステムを破壊するものだった。これが攻撃者の想定した挙動だったとすれば、狙いは身代金の回収ではなく、ターゲットとした企業や組織の活動を妨害することにあるのかもしれない。いずれにしても、感染が広がってしまうと、業務が妨害されることで被害が生じることは避けようがない。

一方で、ランサムウェア対策を進めている企業は多い。ランサムウェアを利用する攻撃者にしてみれば、ベンダー、業界、教育などによる対策が不足している領域、すなわち最新のスマートフォンのような、高価な個人用デバイスなどを狙うという予想もある。McAfeeの「2018年度版モバイル脅威レポート」では、まさにモバイルデバイスが標的にされやすくなっていることが警告されている。

そう、ランサムウェアはまったく他人事ではない。今すぐできる対応としては、ソフトウェアを常に最新のものに更新する、マルウェア対策ソフトウェアを活用する、疑わしいファイルやメールのリンクを開かない、常にデータのバックアップを取る、などが挙げられるだろう。

仕事においても、私生活においても、ランサムウェアはおそるべき脅威となっている。セキュリティーの意識を高めるためにも、McAfee Blog「ランサムウェアの被害額、リスクを把握するとイメージできる被害金額」を読んでほしい。

ランサムウェアの被害額、リスクを把握するとイメージできる被害金額

世界的に、ランサムウェアでの被害が大きく拡大したきっかけは2017年5月のWannaCry。実際に数値としてどの位インパクトがあったのか、被害にあっていない側からするとイメージしづらいのが実際のところかもしれません。定量的データとして分析することは難しいですが、海外で予測されている金額や被害ニュース内容など集めていくと、ある程度の規模感と被害に影響を及ぼす金額の輪郭を捉えるこに試みてみました。これによって、事前にセキュリティ対策をすることの意義や価値を、経営層にも理解してもらえる一助になればと思います。

ランサムウェアの被害金額は？

ここでは、大きな被害が発生した場合、特定企業や組織の定量的な額が公開されている情報や、各種の統計情報から、被害額のイメージを掴んでみたいと思います。ランサムウェアの総数が増加し、支払額も増加傾向にあることから、今後も総額が増えていくことが予想されます。

ランサムウェア被害総額全体で、2019年には115億ドルと予測

サイバーセキュリティに特化した調査会社Cybersecurity Venture のレポートによると、ランサムウェアによる被害総額は、2015年は約3億ドル程度だったものから、2017年は50億ドル、2019年には、115億ドルになると予測しています。

WannaCryの被害で40億ドルとの算出

サイバーリスク関連のデータ収集・分析およびリスク評価モデル開発に専門性を有するCyence 社によると、2017年5月に世界的に感染が拡がったWannaCryで、$4B（40億ドル）の被害額の可能性を算出しています。

A.P. Moller-Maersk社のNotPetyaによる被害額は、2〜3億ドル

2017年6月に欧州を中心に感染が拡大したNotPetyaの被害を受けたことを公表しています。4か国の港湾ターミナルのオペレーションで遅延や混乱で数週間にわたり業務に影響があったとのことです。NotPetya感染による財務的影響は、2億ドル～3億ドルとのこと。年間売上が87億ドルから96億ドルに増加する一方で、NotPetya関連の費用の当期損失 2.6億ドルを計上しています。

台湾の銀行 (遠東國際商業銀行) での感染ケース、50万ドル紛失

もう1件NotPetya関連で、台湾の遠東國際商業銀行の例です。120万ドルの怪しいトランスファー送金があり、後に50万ドルを紛失したと報告 (感染の詳細は、英語のMcAfee Blog記事に詳しい)

ランサムウェアの身代金の額の相場 500〜2000ドル

2017年9月Datto社のレポートによると、身代金の平均額は、47%は、500～2,000ドルの平均身代金の金額を支払うことを要求されています。

どのような影響をうけるのか

感染してしまったら、データにアクセスできなくなるので通常の業務が全くできなくなります。端末を利用していた人の生産活動が停止してしまうことと、元の業務ができるまでの復旧にかかる時間、これらのロスの影響が大きいでしょう。同時に、データが盗まれてしまっている可能性高いです。

先ほどの身代金の数値を取り上げて、単純に被害の計算をシュミレーションしてみましょう。仮に請求額を1,000ドルとして、組織内に100台のPC端末があり、10%の10台が感染したとしたら、10,000ドルの支払いを請求されるが発生するということになります。身代金を支払ったからといって、すぐにデータをもとに戻すための復号鍵が提供される保証はありません。

米国ロードアイランド州の弁護士事務所の例が、それに該当します。

弁護士事務所が、保険会社に対してランサムウェア被害の損害賠償請求額での例です。2万5千ドルの身代金を支払って、復号鍵を犯罪者から入手したそうですが、それだけでは上手く復旧ができず、結果的に復旧に3ヵ月かかり、その間、弁護士活動に影響があり70万ドル分の影響がでて、被害請求の訴えを起こしています。

3.被害にあった場合のリスクを想定することの重要性

被害にあった場合のリスク

ランサムウェアに感染したら、具体的にどのような被害になり、どんな影響があるか、会社としてリスクを想定しておくことが重要でしょう。従来、企業の事業継続性を維持するために、事業リスクを把握する目的で、リスクアセスメントが行われてきました。今後、被害の拡大が予想されているサイバーセキュリティ分野も、事業継続性のリスク領域の１つとして、リスクアセスメント含めて検討しないといけない時期にあるといえでしょう。

直近のランサムウェアに対するリスクをイメージしてみて、どんな被害にあうか、どこをまずしっかり守る必要があるのか等を洗い出すことで、組織としての対策も取りやすくなるはずです。

サイバーセキュリティ対策の重要性の高まりからか、2015年12月には、経済産業省から「サイバーセキュリティ経営ガイドライン」が公開されました。ガイドラインでは、初めてサイバーセキュリティ対策に経営側も積極的に関わる必要性を説いています。ガイドラインは、2017年11月に改訂版 ver2.0 に更新されています。リスク把握や対応策の必要性なども上げています。政府関連のガイドラインでは、初めて経営者のセキュリティへの積極的な取り組みを提言したものだと思います。

もし、ランラムウェアに感染したら、その時点で端末を利用できなくなるので、利用していた社員の業務は、もとの状態に戻るまで何もできなくなるわけです。つまり、生産性がゼロになる同じことです。感染端末数と停止する時間がどの位になるのか、さらに元の状態に戻すまでにかかる手間・時間・費用と考えてみれば、ある程度の影響額のイメージがわくものかと思います。

また、Ponemon Instituteの統計では、ランサムウェア感染後に約7割以上の企業は、11時間以上の時間を費やしています。営業時間で考えると、少なくとも1日以上の時間を費やしていることになります。

別途統計では、ランサムウェア被害から復旧までに平均23日間という統計（2017 Cost of Cyber Crime Study Accenture / Ponemon Institute (PDF)）も出ています。仮にPC台だけ感染したとして、23日間何らかの業務ができないとしたら、それが請求業務や決算業務だったりしたら、リスクは高いですね。

ランサムウェアの被害項目 (可能性)

ここで、ランサムウェアに感染した場合に想定される被害項目 (可能性) を挙げてみました。これらの項目を各企業や事業でイメージされると、どの位の被害につながるかイメージがつかめるのではないでしょうか。

被害を受けてしまったデータ、失われたデータ

被害端末の稼働停止時間

生産性の損出

攻撃後に発生する通常業務の混乱

原因調査解明のためのフォレンジック調査

抜かれてしまったデータやシステムの復旧や削除

企業イメージの低下、悪い評判

攻撃を防ぐための従業員へのセキュリティ教育

各組織や業界によって、上記の項目で思い当たるものを、ある程度推測できるのではないでしょうか。そこで、完全ではなくとも、被害額を試算して影響度をイメージすることは可能です。サイバー攻撃のような、見えない攻撃に対してのインパクトの具体的なイメージを持つ練習をすることは、今後の未知の脅威への対応にも役に立つスキルになると思います。見えない脅威への想像力や変化への対応力が求められているのかもしれません。

4. ランサムウェアは今後も進化していく

McAfee Labs 2018年の脅威予測では、従来の脅迫型ランサムウェアの標的、テクノロジー、目的が変化していくと予測をしています。

身代金の支払い額が減少していることからも、攻撃側は対象や目的も変わっていくであろうことを予測しています。

マカフィーでは、脅威対策ライフサイクルというセキュリティコンセプトを提唱しており、これをベースにしたソリューションを提供しています。未知の脅威により柔軟で効果的な対応を目指しています。

著者：マカフィー株式会社 マーケティング本部

■関連サイト