Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ランサムの勝者は保険会社?

ランサム攻撃で最も利益を得るのは誰なのでしょうか?興味深い記事が出ていました。vc.morningstar.co.jp

 

ボルチモア市は仮想通貨ランサムウェア攻撃を受け教訓を得た

 今回の出来事に先立ち、ボルチモア市は5月にランサムウェア攻撃を受け、コンピューターシステムに障害が出た。これにより警察サービスや請求システム、不動産取引が影響を受けたハッカーは暗号解除ソフトウェアの提供に13ビットコイン(BTC)を要求した

 サイバー賠償責任保険のポリシーは案件ごとに異なるが、ハッカーによる強要も補償範囲にできる。ウォール・ストリート・ジャーナルによると、ボルチモア市のサイバー賠償責任保険は、ランサムウェア攻撃での身代金支払いも対象とする

 チャブ・インシュランスによると、ランサムウェア攻撃は17年から18年にかけて84%増加したという。一方KPMGは、世界のサイバー保険市場の年間成長率は20-25%だと予想した。15年の保険料は25億ドルで、20年には75億ドルに膨らむと見込まれている。25年には200億ドルに増加すると予想される。

(Morningstar記事より引用)

 

◆キタきつねの所感

昨今のサイバー攻撃リスク増大を受けて、サイバー賠償保険に入る企業は日本でも多くなってきているかと思います。米国では、、ランサム攻撃と保険がセットになっている事で起きる弊害について懸念がされている様で、この記事では、ランサム攻撃で最も利益を得るのは保険会社であると分析しています。

サイバー攻撃保険業者:善人か悪人か?

 多額の費用をかけて攻撃を受けたコンピューター・ネットワークを回復させるか、通常は数ビットコインである身代金を支払うかという選択肢を考えると、サイバー攻撃が発生した際に保険会社がとる行動は容易に予想できる

 公共団体の判断はこれとは異なる。全米市長会議は19年、ITセキュリティ侵害を受けた後、身代金支払いに反対する決議を全会一致で可決した。FBIも、この違法なビジネスモデルを助長する可能性があるとして、サイバー攻撃での身代金支払いに反対している。

 ビットコインランサムウェア攻撃が発生した場合、保険会社は倫理的・道徳的な判断を下すのではなく、経営上最善の決断をする。米国の600名の実業家を対象としてIBMが18年に実施した調査でも、これが裏付けられている。この調査では、70%がサイバー攻撃を受けた後に身代金を支払っていたランサムウェア攻撃の多くは報道されないため、このことは大きな話題にはなっていない。

(Morningstar記事より引用)

 

保険会社は保険金保証の支払額を少なくする為に、企業や組織のランサム被害を受けた際に『身代金』を払うのが70%だとすれば、ITシステムの復旧費用を払うよりも、ランサムを払う方に保険会社は動いている(助言してしまう)と考えた方が良いのかも知れません。

 

直接的には繋がりはないだろうと思いますが、こうした状況下では、サイバー損害保険に入っている企業を、ハッカーが襲うのが最も身代金(ビットコイン)の集金効果が高い事になります。

そう考えると、サイバー損害保険に入っている事を公表している企業や組織は・・・実はハッカーにとっては攻撃対象となりやすくなるという事になってしまいます。リスク回避の考え方で言えば、保険加入を公言しない事も、些細な事ではありますが、今は重要と言えるかも知れません。

 

 

※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。

www.jpac-privacy.jp

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

仮想通貨泥棒のイラスト

 


 

更新履歴

  • 2019年10月19日PM(予約投稿)