身代金支払いもサイバー保険も無意味、対ランサムウェアの最適解とは：頼りにならないサイバー保険

ランサムウェア対応のサイバー保険に加入しても、被害をカバーできない可能性がある。身代金を払ったとしても、その後に待ち受けるのはさらなる被害だ。

[Alex Scroxton，Computer Weekly]

　2020年度前半に北米で申請されたサイバー保険請求の半数近くがランサムウェア攻撃に起因していた。だが被害者の保険契約がランサムウェアに対応しているとしても（対応しない保険もある）、保険会社が関連費用の全額を引き受ける保証はないため保険契約を頼りにしてはならない。

関連記事

• ランサムウェアの身代金支払いを支援すると罰金＆制裁対象に
• 二重脅迫ランサムウェアの恐るべき手口
• バックアップだけでは不可　二重脅迫ランサムウェアに対抗する方法
• 身代金を支払うその前に、対ランサムウェア復号ツール
• ランサムウェアに感染したらまず見るべき復号ツール配布サイト

　これはCybereasonが発表したレポートに基づいている。このレポートは、フランス、ドイツ、シンガポール、スペイン、アラブ首長国連邦、英国、米国のセキュリティ担当者からの情報を基に、ランサムウェア攻撃の結果と費用を調査したものだ。

　Cybereasonは米ルイジアナ州ニューオーリンズ市の例を取り上げている。2019年後半、同市はランサムウェア攻撃によって700万ドル（約7億7000万円）以上の損失を出した。ニューオーリンズ市の保険契約はランサムウェア攻撃に起因する損失に対応していたが、市が回収できたのはわずか300万ドル（約3億3000万円）にすぎなかった。

　これはCybereasonが行った調査でも裏付けられている。調査に回答したセキュリティ担当者の約54％がここ2年間でランサムウェアに対応する保険に加入したと答えている。対して、加入しなかったと答えたのは24％だった。ランサムウェア攻撃を受けて脅迫されても保険会社が損失の一部にしか対応しなかったと答えた企業は42％に上る。

　この結果は、保険に加入したとしてもビジネスに深刻な影響を与えることを示唆する。この調査から得られる教訓は、保険がランサムウェアに適切に対応していることを確認することと、攻撃を受けないようにあらゆる予防措置を講じることだ。

　Cybereasonのリオール・ディブ氏（創設者兼CEO）は次のように述べている。「ランサムウェア攻撃は世界中の企業にとって大きな懸念事項であり、収入の損失や貴重な人材の流出など、ビジネスに大きな混乱を招くことが多い。Colonial Pipelineへのランサムウェア攻撃（訳注）では米国東海岸のパイプライン全体で混乱が生じ、他の企業にも悪影響が及んだ」

訳注：2021年5月に発生したサイバー攻撃事件。

　「身代金を払っても回復は保証されない。身代金を払っても再び攻撃を受ける恐れがある。それを阻止することもできない。さらなる攻撃を助長し、問題を悪化させるだけだ。ランサムウェアを早期に発見するための戦略を導入することで、事業が損害を被る前にランサムウェアを阻止できる」

　ディブ氏は「そもそも身代金を支払わない」というガイダンスを繰り返し、特に英国では身代金を支払った企業の84％が短期間で2回目の攻撃を受けていると指摘する。身代金を支払った企業の43％（英国のデータ）は、ランサムウェアからの回復の過程でデータの一部または全てが失われたという。

　英国の被害企業の多くは業績に大きな影響を受け、47％が事業を失い、61％が収益を失っている。事業を失ったと認めた企業の63％は、ブランドと評判が損なわれたと報告している。影響はそれだけではない。被害を受けた英国企業の45％は経営陣の人材流出を経験し、31％は一時解雇され、34％は事業運営全体を停止せざるを得なかったという。