Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ランサムをサイバー保険がカバーしなくなる未来

フランスのAXAは、新規のサイバー保険契約から「ランサム被害」を除外する決定をした様です。現在はフランスだけに留まる話ですが、今後同様な動きが広がれば、日本企業も安易に保険に頼る戦略(リスクファイナンス)は出来なくなる事が予想されます。

hotforsecurity.bitdefender.com

保険大手のAXAは、フランスでは、強奪者への身代金の支払いをカバーするサイバー保険契約を作成していないと述べています。

サイバー保険業界にとって初めてのように思われるAXAの決定は、ランサムウェア攻撃への対応と回復のコストを企業に払い戻すものですが、ネットワークを侵害した後、犯罪組織が要求する暗号通貨の多額の金額をカバーすることはできません。 、および暗号化または盗まれたデータ。

さらに、企業が保険会社に対して持つ可能性のある既存のポリシーには影響しません。

興味深いことに、AXAは、フランスでのランサムウェアの支払いを対象とするポリシーの作成を停止することを決定しただけであり、世界の他の地域では停止していません

昨年、ランサムウェアで55億ドル以上を失ったと推定されているフランスは、サイバー犯罪者による金銭的損害の点で、米国に次ぐと考えられています。

(Hot for Security記事より引用)※機械翻訳

 

キタきつねの所感

英国の著名なセキュリティブロガーであるグラハム・クラリー氏の記事に、かなり怖い記事が出ていました。

※連日のランサム関連の記事になっていますが、それだけ直近の脅威が増しているとご理解頂ければと思います。

 

記事ではさらっとフランスにおける保険会社AXAの”ポリシー変更”が書かれていますが、”国内企業”も注意すべき内容な気がします。

 

CrowdStrikeの調査によると、日本企業がランサムを受けた場合、約3割が身代金を支払う選択をし、その支払額の平均は117万ドル(約1.2億円)であると発表されています。

一部の高額なランサム(身代金)を要求するハッカー(ランサムオペレータ)は、AcerAppleの主要サプライヤであるQuanta Computerに吹っ掛けた様に、機密情報の非公開を材料に、5000万ドル(約54億円)ものランサムを要求する事もあり、サイバー保険加入が無いと経営責任を問われかねない状況になりつつあります。

 

統計データは去年のものではありませんが、FBIの調査データでは、2018年~2019年に最も身代金で稼いだのは「Ryuk」と分析されており、その犯罪収益は1.5億ドル(約162億円)を超えると発表されています。

 

2020年は2019年以上にランサムオペレータが活発だった言われておりますが、その傾向は、インシデント発表を見る限り2021年も変わっていないかと思います。

 

警察庁によると、去年4月~12月のランサムウェア被害の相談件数は23件だった様ですが、これは氷山の一角に過ぎません。

トレンドマイクロに相談があった件数だけでも93件あったと報じられていますので、他のアンチウィルスソフト会社等への”相談”を考えると、少なく見積もっても、警察への相談の10倍以上の200~300件の攻撃があった可能性が高いと思われます。

www.asahi.com

情報セキュリティー大手のトレンドマイクロによると、昨年1年間に国内の法人から、ランサムウェア感染の報告が93件あった。警察への相談よりも多くの法人が攻撃を受けている実態がうかがえる。

朝日新聞記事より引用)

 

Dark Tracerの最新データでは、2019年5月の1年間で主なランサムオペレータの被害を受けた組織は2,155、その内日本に属すると思われる被害が約30件との調査結果が公表されています。

画像

 

但し、これはDarkWeb等のリークサイトで確認された件数であり、”初期交渉”でランサム(身代金)を支払った企業などは含まれていないと思われます。つまり、こちらも氷山の一角だと考えられます。

 

国内のサイバー保険の加入率を調べてみたのですが、2020年12月の直近数字では「7.8%」の様です。中小企業の未加入率が影響しているとは思いますが、まだまだ”サイバー保険を知らない”、あるいは”ランサム攻撃は受けない!”(根拠の無い自信)といった企業が多いのが現状な気がします。

www.sonpo.or.jp


こうした中で、特に昨年のランサム被害が大きかったフランスでのAXAの決定は、全世界での「ランサム関連の支払額増加」に伴って、日本にも波及してくる可能性を感じます。

 

その結果、生命保険に入る為に、健康診断が必要な様に、サイバー保険に入るためには一定以上の「セキュリティ対策」を講じている事が、今まで以上に求められる様になってくるかと思います。

現在は”加入アンケートチェック”が多いのではないかと思いますが、保険料算定の為に「レッドチーム」診断が必要になる・・・そんな日が冗談では無く近づいている気がします。

 

※NISCがコロニカル・パイプラインのランサムインシデントを受けて、4/30に注意喚起を出しています最近の攻撃事例を元に、危ないポイントを挙げていますので、特に「チェックポイント」を、重要インフラ企業で無くても、確認される事を強くお勧めします

scan.netsecurity.ne.jp

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 口を抑えてショックを受けている女性のイラスト

 

更新履歴

  • 2021年5月12日 AM