米セキュリティ企業Trustwave社は6月9日、2014年の世界の「セキュリティ」に関する調査レポート「2015 Trustwave Global Security Report」を公開しました。内容は盛りだくさんで、文量は100ページを超えていますが、Executive Summaryが2ページで簡潔にまとめられているので、まずはこれだけでも読む価値はあるでしょう。 今回はこの中から2つのトピックに絞って紹介します。

サイバー犯罪の投資対効果は1425％ 本レポートの中で、いくつかのメディアで報道されるなど特に注目を集めたのは、サイバー犯罪の投資対効果（ROI）が1425％にも及ぶとしている点です。かねてよりサイバー犯罪は、既存の物理的な犯罪に比べて費用対効果が高いと言われていましたが、それを具体的に示すものと言えます。レポートの中では、マルウェアの販売など実際に存在するサイバー犯罪を支援するサービス（ビジネス）を例に挙げ、具体的な内訳を示して説明しています。 例えば、ランサムウェアに感染させるサイトを用意し、そこにアクセスして感染したユーザーをだまして金銭を支払わせるという犯罪を1カ月間行うとします。このような犯罪を行うためにはマルウェア配布サイトを用意するなどの事前準備が当然必要で、それにかかる費用はおおよそ以下のようになります。 マルウェア配布サイトを用いた犯罪の1カ月間にかかる経費 Payload ＄3,000 Infection Vector ＄500 Traffic Acquisition ＄1,800（＝ ＄300／5日 × 6サイト） Daily Encryption ＄600（＝ ＄20／日 × 30日） 計 ＄5,900 ここで、各々の費目は以下のようになります。 Payload：

ランサムウェア等マルウェアの購入費。 Infection Vector：

マルウェアに感染させるための手法の使用料。多くの場合、電子メールなどで感染サイトに誘導し、exploit kitを使って脆弱性を悪用する。この例は、exploit kitの1カ月間のレンタル料で、感染率10％から15％を見込めるものの金額。 Traffic Acquisition：

マルウェア配布サイトの使用料。この例は、1日あたり2万人のアクセスが見込めるサイトを使う場合の金額。サイトは5日ほどで活動を停止するので30日間の使用には6つのサイトが必要となり、サイト1つあたりの使用料は＄300なので30日間で計＄1800。 Daily Encryption：

マルウェアを検知されにくくするためのカモフラージュとして暗号化を使う場合の費用。この例は、1日1回で＄20、1カ月で計＄600。 次に、実際に犯罪を実行して得られる収益の見込みは以下のようになります。 マルウェア配布サイトを用いた犯罪の1カ月間で得られる収益見込み 訪問者数 20,000人／日 感染率 10％ → 2,000人／日 支払率 0.5％ → 10人／日 支払額 ＄300／人 期間 30日 計 ＄90,000 したがって、この例での投資対効果は約1500％（≒＄90,000／＄5,900）となります。 ただし、この結果はあくまでTrustwaveが調査した時期のものに過ぎないという点に注意が必要です。一般的にこのようなサイバー犯罪の仕組みやそれを支援するサービスは日々刻々と変化しており、金額も大きく変化すると言われています。あくまで「スナップショット」として冷静に捉える必要があるでしょう。