Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ランサムビジネスは脅迫を繰り返す

1粒で2度美味しいのはお菓子の世界だけでなく、ランサムオペレータの世界でも同じ様です。CrowdStrikeの調査では追加恐喝の怖い実態がデータに表れています。

www.infosecurity-magazine.com

CrowdStrikeによると、ランサムウェアの被害者の驚異的な96%が、彼らの強奪者の要求に同意した後、数十万ドルに上る追加料金を支払うことを余儀なくされています

セキュリティベンダーの2021年のCrowdStrikeグローバルセキュリティ態度調査は、米国、EMEA、およびAPACの2200人の上級ITおよびサイバーセキュリティの意思決定者へのインタビューからまとめられました。

回答者の3分の2(66%)が、過去1年間に少なくとも1回のランサムウェア攻撃を受けており、年間の平均支払い額は63%増加していることがわかりました。それらは、EMEA(130万ドル)で平均して最も低く、次に米国(160万ドル)、APAC(240万ドル)で最も高かった。

ランサムウェアグループからの平均需要は600万ドルでした。CrowdStrikeは、この数字と被害者が支払うことになる金額とのギャップは、組織がリスクエクスポージャーの交渉と理解を上手く行っているためだと主張しました。

ただし、脅威アクターは他の方法で資金を回収しようとしています。特に、同じ攻撃に対して同じ被害者を複数回強要することです。報告書は、これらの追加の支払いは平均して犠牲者に792,493ドルかかると主張しました。

 

キタきつねの所感

ランサムに関する調査データ発表は色々と出てきており、調査対象の違いなどにより各社の数字は違うものの、今年の傾向としてランサムの脅威(被害額・件数)が”増した”事はあれ、”減った”と書かれているものはほとんどありません。

こうした調査結果から考えると、ランサム攻撃は2020年から継続して脅威を増しており、残念ながら来年もこの傾向は続くものと思われます。

儲かるビジネスとして、ランサム”業界”への新規参入も増えている中、ビジネスライクになり始めているランサム攻撃者が”いかに効果的に稼ぐか”と言う答えの1つが、1粒で2度美味しい攻撃、だったのかと思います。

 

誰がいくらの身代金(ランサム)を払ったのか?というのは、あまり表に出る事が無いデータ(被害組織が隠すもの)なので、そうした被害がある事は知っていましたが、どの程度あるのか、という点については分かっていませんでしたが、CrowdStrikeの調査データには、ある意味”衝撃的”な結果が出ていました。

 

もう1度同じ個所から引用します。

CrowdStrikeによると、ランサムウェアの被害者の驚異的な96%が、彼らの強奪者の要求に同意した後、数十万ドルに上る追加料金を支払うことを余儀なくされています。

(Info Security Magazine記事より引用)※機械翻訳

 

 

ほぼ全部です。

 

こうした統計データはサンプルによって数字にバラつきが出るのですが、CrowdStrike調査はランサム被害を受けた可能性がある上級IT/セキュリティ意思決定者から回答を得ており、その回答人数も1,000人(試算では1,452人 ※アジア地域含む)を超えていますので、かなり実情に近いデータと思われます。

 

身代金(ランサム)を払う・払わない問題というのは、その時点で被害組織が置かれている状況によって、経営者の判断はまったく違ったものになるかと思います。

バックアップが無事ですぐに復旧できそうであれば、脅迫を”無視する”という選択肢が取れる事もあるかと思いますが、リークされる可能性がある機密情報の内容、被害規模や”復旧の困難度”、あるいはサイバー保険加入などの諸条件によっては、”身代金支払う”事の方が被害組織にとって正しい場合もあるかと思います。

 

日本を含むアジア地域(APAC)のデータを見ると、身代金の実際の支払額平均は、240万ドル(約2.7億円)と全世界平均よりも高いのですが、更に2回目(以降)の支払いを平均約80万ドル(約9,100万円)更に求められているのだとすると、合わせて3億円近くをランサム攻撃者に支払う事を余儀なくされている事になります。

 

何が正解と言い切れるものではありませんが、日本企業・組織は、こうした実態を踏まえ、3億円までとはいかないまでも、セキュリティ(ランサム対策)に予算を積み増ししておくべきかと思います。

 

余談ですが、個人的には入口と勝手口に予算を手厚くする事が、最も合理的だと思います。

入口は、フィッシング、VPNやRDP等の近年新しく増設された外部に接しているセキュリティ機器、及びクラウドにおける対策強化であり、ランサム攻撃者が最初に狙ってくるアタックサーフェスです。

勝手口は、バックアップ保護(からの復旧)です。ランサム攻撃者はまずバックアップを消すか暗号化してしまうと、被害企業の”支払い確率”が高くなる事をよく知っています。

オフラインバックアップや、ランサム攻撃が考慮されたバックアップツール利用なども含めて、バックアップを守り時間をかけずに復旧する為の対策、ツールに予算をかける事で、”ランサム攻撃耐性”は各段に増すと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 滑落注意のマーク

 

更新履歴

  • 2021年12月9日 AM