「ゼロトラスト」の生みの親、ジョン・キンダーバーグ氏はRSAC 2026で、サイバー保険がランサムウェア攻撃の拡大要因になっていると指摘した。何が起こっているのか。
「ゼロトラスト」という言葉の提唱者で、セキュリティベンダーIllumioのチーフエバンジェリストを務めるジョン・キンダーバーグ氏は、RSAカンファレンス(RSAC)2026のセッションで衝撃的な比喩から話を始めた。「生命保険の誕生は、殺人を犯す新たな動機を生み出した」というものだ。殺人は古くから存在する犯罪だが、生命保険はその上に「経済的インセンティブ」を上乗せしたという。
これと同じことが、サイバー保険でも起きているという。どういうことか?
キンダーバーグ氏は、サイバー攻撃の加害者に、ランサムウェア(身代金要求型マルウェア)攻撃をエスカレートさせるための新たな収益源、つまりサイバー保険を与えてしまったと指摘する。
ランサムウェアの歴史は1989年までさかのぼる。進化生物学者のジョセフ・ポップ氏が、世界保健機関(WHO)のエイズ会議の参加者に配布したフロッピーディスクがきっかけだ。正規の研究用ソフトウェアと称した数千枚フロッピーディスクには「AIDS Trojan」と呼ばれるトロイの木馬(RAT:Remote Access Trojan)が組み込まれており、システムを一定回数再起動するとファイルが暗号化される仕組みだった。ファイルの復元には一定額の送金を求めた。
コンピュータとネットワークが高度化するにつれ、ランサムウェアの手法も進化を遂げた。
2000年代初頭には、単純なファイル名の変更やロックの手法が公開鍵暗号へと置き換わった。メールの添付ファイルやボットネットの普及で、感染経路も拡大。暗号資産(仮想通貨)の登場は、銀行の監視を受けない匿名性の高い支払い手段を犯罪者に与えた。2019年には、データの暗号化だけでなく、盗み出したデータをダークWebで公開すると脅す「二重恐喝」が一般化した。
2020年代に入ると、その革新スピードはさらに加速した。AI(人工知能)を駆使したサイバー攻撃により、強固なセキュリティを持つ政府機関やグローバル企業から、大規模かつ多角的なデータ窃取と恐喝が可能になったのだ。
サイバー保険業界は、企業のインターネット依存や電子データの増大、そして新たなサイバー脅威の台頭とともに成長してきた。
1990年代、損害保険会社はハッカーによる侵入被害をカバーする限定的な第三者賠償責任保険の試行を開始した。1990年代末には、データ漏えいへの対応費用やビジネスの中断による損失を補償する、初の本格的なサイバー保険が登場。2000年代には多くの企業が参入し、被保険者自身の損害を補償する「第一者補償」も提供されるようになった。
以来、業界は成熟を続け、通知費用、クレジット監視、規制当局への対応、身代金交渉、サプライチェーン補償、恐喝保護など、ポートフォリオを拡大してきた。脅威が深刻化するにつれ、保険料も急騰している。キンダーバーグ氏によれば、市場規模は過去20年間で40倍に拡大し、現在は約210億ドルに達すると推定されている。
Resilience(旧Arceo Labs)が2026年2月に公開した調査レポート「Resilience 2025 Midyear Cyber Risk Report」によると、2025年上半期に発生した企業の損失の90%以上はランサムウェア関連のインシデントによるものだった。
キンダーバーグ氏は、「保険会社とランサムウェア攻撃者の双方が同じ動機で動いている」と指摘する。あるサイバー保険会社の幹部との会話を引き合いに出し、その実態を明かした。
「保険金請求を全て拒否することもできるが、そのようなことはしない。支払額よりも多くの収益を確保できればいい。これは私にとってビジネスだ。リスクの移転ではなく、金を稼ぐことが目的だ。収支が合う限り、ランサムウェア保険は売り続ける」
キンダーバーグ氏によれば、多くの企業におけるセキュリティ予算の最大部分は、ランサムウェアの支払いに充てられているという。2018年、企業がデータ復旧のために支払った額は約3900万ドルだったが、5年後、その額は8億1300万ドル以上にまで膨れ上がった。これほど多額の支払いが発生していても、保険会社は特約を制限することで、保険契約のビジネスモデルを維持することができている。
「一部の企業にとっては、ランサムウェアは単なる事業コストの一部にすぎない」(キンダーバーグ氏)
顧客に代わって身代金を支払うサイバー保険市場が巨大化したことで、攻撃者はより大胆に、現実的になった。保険会社が支払う用意があることを攻撃者は熟知しており、データ漏えいなどの手段を用いて企業の保険加入額を事前に調べていることが多い。
その結果、ランサムウェア攻撃者はもはや交渉などしない。データやシステムを人質に取った際、時間をかけて値切るのではなく、保険会社から支払われると分かっている「満額」を突きつける。
「攻撃者はこう聞いてくる。『保険金はいくら出るんだ?』と。その額が彼らの請求額になる。一円も多くは求めない。ただ、自分たちの世界の『正当な報酬』を手に入れたいだけだ。あなたたちがビジネスをしているように、彼らもまたビジネスをしているのだ」(キンダーバーグ氏)
キンダーバーグ氏によると、数年前発生した「HardBit」と呼ばれるランサムウェア攻撃には、次の要求文が添えられていた。「あなたの会社が1000万ドルの保険に入っていると匿名で教えてくれれば、保険代理店との交渉で1000万ドルを超える要求はしない」
キンダーバーグ氏はこの状況をこうまとめた。「被害者が保険に加入している場合、ランサムウェアの要求額は平均2.8倍に跳ね上がる。保険に入っているという事実そのものが、支払額を増大させているのだ」
キンダーバーグ氏はセッションの最後、企業側の責任についても厳しく言及した。ランサムウェア事件を招くのは、「不適切なポリシー」だという。
セキュリティ担当者がシステムの可視性を欠き、適切な場所に制御を配置していなければ、攻撃者は容易に侵入し、企業を人質に取る。攻撃者が機密データにアクセスするために必要な情報を集める「潜伏期間」を長く許しているとすれば、それは単にセキュリティポリシーが欠如している証拠だ。
こうした不備がランサムウェアの爆発的なまん延に大きく加担してきた。サイバー保険のビジネスモデルは、必ずしも厳格なセキュリティを推奨するものではなかったため、結果としてランサムウェアの台頭を助長することになったのだ。
キンダーバーグ氏は、まず強力なサイバーセキュリティを構築することを企業に薦める。セキュリティポリシーが不十分で攻撃を阻止できなかった場合、その時点で「主義主張」を唱えても遅い。「これは連鎖の終着点だ。最初にポリシーで失敗したツケを、今その身代金で払っているにすぎない」
Copyright © ITmedia, Inc. All Rights Reserved.
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
