ランサムウェア最大の脅威は身代金ではない……中小企業の被害調査結果　ほか

ランサムウェア最大の脅威は身代金ではない……中小企業の被害調査結果

　ランサムウェアによる深刻な被害が世界各国で発生している中、米Malwarebytesと調査会社のOsterman Researchは、従業員1000人未満の中小企業約1000社を対象に、ランサムウェアによる被害について調査した結果を発表しました。

　この調査は今年の6月に実施されたもので、調査対象の企業は、米国（北米）179社、英国、フランス、ドイツ、オーストラリア、シンガポールのそれぞれ175社、計1054社です。業種としては民間企業だけでなく、政府機関や法執行機関も含まれています。

　まず、過去12カ月の間にランサムウェアによる被害を受けたことがあると回答したのは、全体の3分の1以上となる35％となっています。ちなみに、何らかのサイバー攻撃を受けたことがあるのは81％、データ侵害を受けたことがあるのは66％となっています。また、ランサムウェアに感染した組織の50％は、身代金として要求された金額が1000ドル以下だったと回答しています。

　その他の注目すべきポイントは以下の7点。

• ランサムウェアによる事業停止時間が25時間以上に及んだことがあるのは全体の約6分の1で、中には100時間を超えたケースも。また、ランサムウェア攻撃によって事業を即時停止せざるを得なかったことがあるのは22％で、実際に減収したケースは15％。
• ランサムウェア対策の優先度を「高い（high）」または「とても高い（very high）」としているのは全体の75％である一方で、ランサムウェア対策に自信がないとの回答が半数近くに。
• ランサムウェア被害を受けた組織の27％で感染源を特定できておらず、さらに3分の1以上で他のデバイスにも感染が拡大。また、ネットワーク上のすべてのデバイスに感染が影響したケースは調査対象の2％。
• ランサムウェアの感染源として、米国では電子メールの添付ファイル経由が37％、電子メール内のリンク経由が27％であるのに対し、欧州では添付ファイル経由が22％、リンク経由が米国と同じ27％。
• 回答者の72％はランサムウェア被害に対していかなる場合も身代金を支払うべきではないと回答しているのに対し、残りの28％のうちのほとんどは暗号化されたデータの価値によると回答。その一方で支払わないことを選択した組織のうち3分の1が結果としてファイルを失っている。
• ランサムウェアに対して「懸念している（concerned）」「強く懸念している（extremely concerned）」との回答が最も多かった業種は金融系で54％、一方、最も少ないのは運輸系で26％。
• 回答者の3分の1以上がランサムウェア対策技術を導入・運用している一方で、約3分の1がランサムウェア攻撃を経験。

「The State of Ransomware Among SMBs」のインフォグラフィックより。全文（PDF）は、https://www.malwarebytes.com/pdf/infographics/Malwarebytes_The_State_Of_Ransomware_Among_SMBs.pdfよりダウンロード可能

　これらの結果を踏まえ、Malwarebytesは中小企業におけるランサムウェアの最大の脅威は、身代金ではなく、事業の停止であるとしています。もちろん、事業の停止は中小企業に限らず大企業においても深刻な問題ですが、中小企業の場合は事業継続のための冗長性の確保などが一般的に大企業に比べて難しいことから、深刻度はより高いと言えます。

　また、事業停止時間の平均は21.4時間であるとの結果をもとに、Malwarebytesは以下のようなモデルを仮定してランサムウェアの被害額を算定した結果をブログで発表しています。

• 従業員：500名
• 平均時給：28.00ドル
• 停止時間中の従業員の生産性の損失：50％
• 1時間あたりの企業収入：2万4000ドル
• 全面復旧までの停止時間：21時間

• ランサムウェアの影響
  - 従業員が生産性の損失を受ける可能性：50％
  - 一時的な事業停止の可能性：30％
  - 企業収入の損失の可能性：20％

　このモデルにもとづき、2回のランサムウェア感染によって事業停止が起きた場合の被害を、Malwarebytesは年間で21万9634ドル、つまり（感染1回につき）従業員1人あたりで約220ドルと見積もっています。この損失額は1日の平均給与（224ドル＝28.00ドル×8時間）に相当する金額です。なお、この損失額には将来の減収、企業イメージの毀損、納期の遅れなどの数字で示すのが難しい影響については含まれていません。

　さらに、2回のランサムウェア感染のうち1回をランサムウェア対策技術で防げたとすると、従業員1人あたりの年間の対策費用を50ドルとした場合、従業員1人あたりで年間170ドル（＝220ドル－50ドル）の節約となります。また、ランサムウェアによる実害が1回に減れば、事業停止そのものによる損失は半分、つまり11万ドル近くに抑えられることになります。

　このモデルが現実的なのか、また、この算定方法が本当に適切なのかは判断が難しいですが、1つの参考にはなるでしょう。

　今回紹介したのは調査対象の6カ国全体の結果をまとめたものですが、Malwarebytesは各国ごとにまとめたレポートも公開しています。国ごとの違いを見るのもよいでしょう。

脆弱性は再発見される

　近年、脆弱性情報が一種の「武器」のように扱われ、アンダーグラウンドで高額で売買されることがあるなど、脆弱性情報の取り扱いはますます難しくなってきています。そのような中、ハーバード大学のBelfer Center for Science and International AffairsによるCyber Security Projectは、「Taking Stock：Estimating Vulnerability Rediscovery」と題した論文で、脆弱性が（最初の発見者とは無関係の第三者によって）再発見される可能性について調査した結果を公開しました。

　これは4300を超える脆弱性について調べたもので、脆弱性のうち再発見される割合は「15％から20％」に及んでいることが分かりました。過去の同様の調査による「1％から9％」の倍以上となっています。中でも、Androidに限定すると、60日以内の再発見が13.9％、90日以内で20％、120日以内で21％以上。また、Google Chromeでは、60日以内での再発見が12.57％となっています。今回の調査対象全体で見ると、過去8年間で割合は増えており、2016年には19.6％に達していますが、著者らは特定の種類のソフトウェアに限定すればもっと高い値になるだろうと予想しています。

　この20％前後の数字を多いと見るか少ないと見るかは判断の分かれるところがあると思いますが、少なくとも脆弱性の再発見が珍しいものでないことだけは確かでしょう。また、近年ではバグバウンティの制度を設けている企業や組織が増えたこともあり、脆弱性を見つけることに対する世の中の関心が増し、脆弱性を見つけようとする人も増えていると考えられるため、再発見される割合が増えているのも当然と言えば当然と言えます。

　それでも今回このように具体的な数字として示されたことで、論文では以下のように推測しています。

　ゼロデイ脆弱性として実際に検知されているものの3分の1はNSA（米国家安全保障局）をはじめとする米国政府が秘匿していた脆弱性を第三者が再発見したものである可能性があるというわけです。これは諜報機関などが脆弱性情報を秘匿すべきか開示すべきかという議論にもつながる話であり、論文では以下のように提言しています。

　個人的な思想信条は別として、脆弱性情報を秘匿することによって一般市民が受ける被害と、公開することによって諜報機関が被る損失について、より精緻な分析が必要なのは確かでしょう。