Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

サイバー保険の加入は秘匿にすべき

つぶやいてみた。

サイバーセキュリティ関連企業のTailonの最新調査で、専門家の3分の2以上がランサムウェアの問題が、サイバー保険の支払いによって悪化していると考えているとの結果が出ていました。

www.infosecurity-magazine.com

英国のサイバーセキュリティ専門家200人を対象にした調査でも、ランサムウェア攻撃を法執行機関に報告することについて懸念される調査結果がいくつか明らかになりました。なぜそれほど多くの攻撃が報告されていないのかと尋ねられたとき、回答者のほぼ半数(45%)が、法執行機関がランサムウェアの回復を遅らせると企業が考えており、システムをオンラインに戻すことに集中していると答えました。3分の1以上(37%)が、企業が身代金を支払っており、トラブルに巻き込まれたくないためだと述べています。

さらに、調査対象者の10人に1人は、企業がランサムウェア攻撃を法執行機関に報告する方法を知らないと述べています。

 

キタきつねの所感

英国のデータではありますが、グローバルのデータと読み替えても、そう外れてはいない気がします。

気づかれている方も多いかと思いますが、当ブログや限定公開しているセキュリティニュースまとめで、私から発信する情報に「ランサム」がここ2年程増えてきています。

日々セキュリティ関係のニュースをチェックしていますが、国内外のニュースで毎日の様に「ランサム」関連の記事が出ている事を実感しています。

※余談となりますが、私の場合、情報漏えいインシデントの中でも発生件数が多い「人の過失」にはあまり関心がありません。国内報道で多い、こうした事件を除くと、ランサム関連のニュースが近年増加している事が分かるかと思います。

※「人の過失」、例えば書類を紛失しました、USBメモリを落としました、フィッシングメールを踏んで迷惑メールが送信されてしまいました・・・といった「良くありがちなニュース」は、目を通すものの、ほとんどの場合、その対策は「気をつけましょう」「教育が大事!」といった人の脆弱性へのパッチ当てである事が多いので、分析してもそれ程気づき(新しい発見)がないと思うからです。

 

それでは、ランサム被害に対する最後の砦とも言われるサイバー保険が、何故、ランサム問題を悪化させているのでしょうか?

1つの要因は、下記記事内容にもある様に、ビジネス復旧を最優先する被害企業(組織)側の姿勢です。

回答者のほぼ半数(45%)が、法執行機関がランサムウェアの回復を遅らせると企業が考えており、システムをオンラインに戻すことに集中していると答えました。

 

いくつかの国ではランサム被害を速やかに”報告”する事が法制化されていますが、日本も含め、被害報告が努力義務である国も多いのが現状です。

その結果、匿名の調査データでは日本企業が数多くサイバー(ランサム)攻撃に遭っている結果が出ていても、ニュースリリースとして公開された件数と「かなり差分が出る」(≒明らかに少ない)状況となっています。

 

ランサム(身代金)要求額にもよるのかと思いますが、復旧コスト・時間、及びビジネス機会の損失・信頼低下などと見比べて、”妥当な金額”に収まるのであれば、少なくない被害企業(組織)の経営陣が「支払う」との判断をしても不思議ではありません。

米国でその被害による影響が社会問題化したコロニカルパイプライン社のインシデントでは、バックアップが存在していたにも関わらず、早い段階で(※FBI等がサポートに入る前に)DarkSideと交渉の上で、440万ドル(約4.8億円)の身代金を支払い、復号鍵を入手したと言われています。

www.bbc.com

 

こうした経営者の判断に「サイバー保険に入っている」というのはかなり影響しているのかと思います。

 

 

ランサムオペレータ(攻撃者)と被害企業の交渉において、「サイバー保険」に加入しているかどうか、その「支払い上限額」がいくらなのかをランサムオペレータは最初に聞いてくると言われています。

 

個々の交渉の内情は分かりませんので以下想像が過分に入りますが、

企業のビジネス規模や窃取した機密情報などの価値といったものも身代金の額には影響するのかと思いますが、ランサム”ビジネス”が大きくなったのは、被害企業(組織)が支払えるギリギリの額を狙って攻撃側が交渉を進めてくる、すなわち交渉時に被害企業(組織)が、サイバー保険の契約内容を素直に回答している(しないといけない状況に追い込まれている)事も影響している気がします。

 

それでは日本企業は・・・と考えると、この記事の情報を心配する必要は(残念ながら)ほとんどなさそうです。昨年末に日本損害保険協会が出したレポートでは、サイバー保険加入企業はわずか7.8%にしか過ぎず、9割以上の企業リスクファイナンスの面で「ノーガード」戦略を採用している事が伺えます。

www.sonpo.or.jp

 

それだけ自社のセキュリティ体制に自信がある、あるいはランサム等のサイバー攻撃の脅威が増えてきている中、被害を受ける事は「無い」との過信なのかも知れません。

※私感ですが、国内でもランサム被害が出始めている中でサイバー保険に入らないという選択は、かなりリスクが高い状況になりつつあると思います。被害が小さければ”障害”として「社内的に何とかする」事も可能かと思いますが、昨今のランサム被害は影響範囲が大きいケースも出ていますので、仮に無策(ノーガード)であった場合、経営者としての責任が問われる事も十分に考えられます。

 

余談です。サイバー保険に加入している日本企業がが、それをホームページや株主報告書などで「公開」しているケースを見る事もありますが、それも潜在リスクとなるかと思います。

サイバー攻撃の事前偵察などの段階で、保険に入っている事を確認してから攻撃を仕掛けてくる攻撃者もいると言われており、「手の内を晒している」事になるかも知れないからです。

 

サイバー保険加入を非公開としている所も安心とは言えません。最近、「保険会社」自身がサイバー攻撃を受けるケースも出てきています。

www.jiji.com

 

こうしたインシデントで仮に顧客情報が漏えいしていた場合、漏えい情報の中に「サイバー保険」の諸条件が含まれている可能性もあり、その情報を得たランサム攻撃者の2次攻撃の対象となってしまう可能性も考えられます。

 

自社だけでは防ぎきれないケースもあるかも知れませんが、セキュリティ対策の内容(サイバー保険加入)は、迂闊に開示せず、攻撃者に余計なヒントを与えない視点で自社の”公開情報”をチェックするのも良いかと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

射的をする男の子のイラスト(お祭り)

 

更新履歴

  • 2021年8月26日 AM