企業にサイバー攻撃を加えて身代金を要求するランサムウエア被害が世界で拡大するなか、被害を受けた企業の過半が身代金の支払いに応じていることが分かりました。
取引先に被害が及ぶなど攻撃の悪質性が高まっていることが要因の一つです。
米ではサイバー保険による支払いが攻撃を助長しているとの指摘もあります。
身代金を払うか、払わないか
首都圏の中小IT(情報技術)企業はランサムウエア感染で端末が停止し、業務が続けられなくなりました。
パソコンには「機密情報を奪った。支払わなければ外部に公開する」とのメッセージが浮かんでいます。
結局、弁護士に相談したうえで数百万円相当を払い、半日以内に復旧したといいます。
米パイプライン運営会社コロニアル・パイプラインは5月に受けた攻撃で犯行グループに身代金を払ったことを認めました。
「苦渋の選択だった」(ジョセフ・ブラウント最高経営責任者)。ブラジルの食肉大手JBSも攻撃で5月に食肉処理場の操業が止まり、「データ流出を食い止めるため支払いを決めた」といいます。
2020年に約2400団体がランサム被害
米セキュリティー大手プルーフポイントが主要7カ国の3600の企業・団体(従業員200人以上)に実施した調査によると、2020年に約2400団体がランサム被害を受けたと回答。
うち52%(約1200団体)が身代金を払ったと答えました。
国別では米国が87%(約410団体)と最も多く、英国59%(約260団体)、ドイツ54%(約220団体)と続きました。
日本も33%(約50団体)ありました。
身代金が少額なら外部からは分からない
身代金を払ったことを公表した日本企業はまだありません。
EY新日本監査法人の加藤信彦パートナーは「経営に重要な影響を及ぼす金額なら開示義務が生じるが、少額なら営業外費用などとして処理され、外部からは分からない」と話します。
「非上場の中小・零細企業の支払いも多いのではないか」(日本サイバーセキュリティ・イノベーション委員会の上杉謙二主任研究員)との指摘もあります。
中小・零細企業の中には最初から届け出ない企業もある
ランサムウエア事案を多く手がける弁護士によると、被害企業はまずセキュリティー会社や弁護士に相談し、自力復旧に加え脅迫元との接触を探ります。
「相手の素性調査、支払いによる復旧の見通し、身代金額の交渉など複数のプロセスを踏む。そのうえで企業は支払うかどうか判断する」といいます。
多くは警察にも捜査を求めますが、中小・零細企業の中には最初から届け出ない企業もあり、被害を受けた会社数はもっと多いとの指摘もあります。
身代金の支払額は年々増えている
身代金の支払額は年々増えています。
米サイバー大手のパロアルトネットワークスによると、世界の企業1社あたりの支払額は20年に31・2万ドル(約3400万円)と19年比3倍に急増。21年1~6月は約57万ドルと拡大が続いています。
標的がインフラや生活産業、大手サプライチェーンなどに広がり、個人情報や機密データを奪うなど悪質な攻撃が急増しています。
急ぎ対応しなければ顧客や取引先にも被害が及びかねません。
企業は自社の信用低下を避けようと被害隠蔽を図り、支払いに応じてしまうのです。
サイバー保険に加入する米国企業を調べて狙っている
サイバー犯罪者がサイバー保険に加入する米国企業を調べて狙っている可能性があるとの指摘も聞かれています。
英ソフォスが26カ国の企業・官公庁のIT管理者5000人を対象に実施した20年調査では、ランサムウエアに対応したサイバー保険への加入割合は米国が75%と世界平均(64%)を上回ります。
増える身代金を問題視し、米政府は支払いに制限をかけ始めました。
米財務省の外国資産管理局(OFAC)は20年10月、ロシアや北朝鮮、シリアなどとの関係が疑われる組織への支払いが制裁対象になり得ると表明しました。
とりわけロシアやその周辺国とみられる集団による攻撃が急増しており、何らかの追加措置が取られる可能性があります。
企業の身代金支払いをすべて禁じるのは容易ではない
日本も経済産業省が20年12月に発行した経営者向けの文書で、ランサムウエアについて「金銭の支払いは厳に慎むべきだ」としました。
サイバー犯罪者の脅迫行為は違法となる一方、被害企業側の支払いを禁じる法律はありません。
企業の身代金支払いをすべて禁じるのは容易ではありません。
米連邦捜査局(FBI)は「ビジネスが機能障害に陥った場合、経営陣があらゆる選択肢を評価することは理解する」と指摘しています。
そのなかで、企業は専門家に相談するなど慎重な判断が必要となります。
サイバー法制に詳しい山岡裕明弁護士は「被害規模や支払わずに復旧できる可能性を確認しないまま払えば、経営陣が善管注意義務違反を問われる可能性もある」と話します。
安易な支払いは脅迫行為を勢いづかせ、サイバーテロの温床となりかねません。
自社のサイバー防衛を最新の状態にしたうえで、被害を受けたらいち早く捜査機関に通報したり、業界団体と情報共有したりする適切な対応が求められています。
まとめ
企業にサイバー攻撃を加えて身代金を要求するランサムウエア被害が世界で拡大するなか、被害を受けた企業の過半が身代金の支払いに応じていることが分かりました。
国別では米国が87%(約410団体)と最も多く、英国59%(約260団体)、ドイツ54%(約220団体)と続きました。
日本も33%(約50団体)ありました。
身代金の支払額は年々増えています。
サイバー犯罪者がサイバー保険に加入する米国企業を調べて狙っている可能性があるとの指摘も聞かれています。
増える身代金を問題視し、米政府は支払いに制限をかけ始めました。
安易な支払いは脅迫行為を勢いづかせ、サイバーテロの温床となりかねません。