保険会社すら防げない？ 「身代金支払い」を巡るサイバー保険の“残酷な現実”：サイバー保険は“万能”ではない

「サイバー保険」は、企業がサイバー攻撃を受けた際の“最後のとりで”になり得る。しかし保険に加入してさえいれば全損害を補填できるわけではない。4つの漏えい事例から学ぶ、組織を追い詰める致命的な要素とは。

[Richard Livingston，TechTarget]

　どれほど強固なセキュリティ対策を講じても、サイバー攻撃の脅威から完全に逃れられる組織は存在しない。米連邦捜査局（FBI）が発表した2025年版の報告書によると、2025年のサイバー攻撃による損失額は208億7700万ドルに達し、2024年から26％増加した。

　組織がひとたびデータ漏えいを許せば、その被害は単なるシステムの復旧費用にとどまらない。長期間の事業停止、社会的信頼の失墜、ステークホルダーからの巨額の損害賠償請求など、数年間にわたって企業経営を圧迫する致命的な事態に発展する。こうした脅威は、従来の企業向け保険の基本契約ではカバーし切れないのが実情だ。

　そこで企業の「最後のとりで」になるのがサイバー保険だ。これはサイバー攻撃によって生じる金銭的なリスクを第三者に転嫁し、被害を受けた組織が損失や事業の中断から立ち直るのを助けるための金融商品だ。

　だが、「保険に加入してさえいれば万全」というわけではない。本稿は大規模なサイバー攻撃を受けた4つの組織の事例と、各組織が直面した「究極の選択」を紹介する。インシデントにおいて何が奏功し、何が失敗だったのか。いざというときに組織を守り抜くための、サイバー保険の現実と明暗を分けた決定的なポイントを明らかにする。

サイバー保険会社自体の漏えい被害

併せて読みたいお薦め記事

サイバー保険の注意点

• ランサムウェア攻撃の新常識？　攻撃者はあなたの「保険金額」を知っているかもしれない
• サイバー攻撃の保険金下りないかも　国家支援攻撃に備えて情シスが取るべき対策は

　保険持株会社CNA Financialで発生したデータ漏えいは、保険業界を揺るがした最大級のランサムウェア（身代金要求型マルウェア）事件の一つだ。同社自体がサイバー保険の主要なプロバイダーであったため、その衝撃はさらに大きかった。

　2021年3月、CNA Financialはサイバー攻撃を受け、社内メールや従業員向けサービスを含むネットワークとシステムが停止した。後にこの攻撃は、ロシアとの関連が指摘される攻撃グループ「Evil Corp」が開発したマルウェアの亜種を用いた、「Phoenix」というグループによるランサムウェア攻撃だと判明する。VPN（仮想プライベートネットワーク）経由で接続されたリモートシステムを含む、社内LAN内の1万5000台を超えるデバイスが暗号化された。この広範囲にわたるシステム停止によって、同社はITインフラの一部を遮断し、専門家や法執行機関に調査を依頼する事態に陥った。

　CNA Financialは、システムへのアクセス権を取り戻すために約4000万ドルの身代金を支払う決断を下した。当初の要求額である6000万ドルから交渉によって減額させたものの、公表された身代金の支払い額としては当時最大級のものだった。

　この事件では、サイバー保険が皮肉な役割を演じることになった。大手サイバー保険会社であるCNA Financialは、他社の復旧を助けるための保険商品を販売していたが、いざ自社が被害に遭うと、その損害は自らが被保険者として加入していたサイバー保険の補償枠だけでは完全には補填（ほてん）できない見込みであることを、米証券取引委員会（SEC）への提出書類の中で明らかにしている。

顧客データを守るための苦渋の決断

　2023年8月、カジノとホテルの運営事業を手掛けるCaesars Entertainmentが、IT業務の外部委託先を標的にしたソーシャルエンジニアリング攻撃の被害に遭った。「Scattered Spider」というグループに関与する攻撃者が、同社の従業員になりすまして委託先の担当者を欺き、アクセス権限を奪い取ったのだ。システムに侵入した攻撃者は、ロイヤリティープログラムに関連する大規模なデータベースを窃取した。これによって、会員の運転免許証番号や社会保障番号を含む個人情報が漏えいした。

　攻撃者は約3000万ドルの身代金を要求した。Caesars Entertainmentは最終的に、盗まれたデータの削除を条件として1500万ドルを支払う道を選んだ。この支払いの決断によって、カジノやホテルの運営はほぼ滞りなく継続された。これは、ランサムウェア事件に直面した組織が、いかに重い究極の選択を迫られるかを示す一例だと言える。

　規制当局への報告においてCaesars Entertainmentは、身代金の支払いに加え、調査や修復に要した総費用の一部について、サイバー保険によって補填される見込みであることを明らかにした。

身代金の支払いを拒否

　Caesars Entertainmentの事件から程なくして、リゾート運営会社MGM Resorts Internationalも同様の被害に遭った。Scattered Spiderが再びソーシャルエンジニアリングを使い、従業員になりすましてITヘルプデスクに認証情報をリセットさせ、システムへの侵入に成功したのだ。攻撃者はランサムウェアを展開してシステムを暗号化。これを受け、MGM Resorts Internationalは被害の拡大を防ぐためにシステムの大部分を自ら緊急停止せざるを得なくなった。

　MGM Resorts Internationalは攻撃者への支払いを拒否し、自力での復旧を選択した。その結果、ラスベガス全域のホテルやカジノで、スロットマシンの停止、客室のデジタルキーの不具合、予約システムのダウンといった広範囲な混乱が数日間にわたって継続し、顧客体験と収益に深刻な打撃を与えた。同社は後に、氏名や連絡先、一部の社会保障番号を含む個人情報が攻撃者によって不正に取得されたことを認めている。

　サイバー保険によって損失の一部は軽減されたものの、金銭的な打撃を完全に取り除くことはできなかった。MGM Resorts Internationalは事業中断やランサムウェア関連の費用を最大2億ドルまでカバーする保険に加入していたが、それでもこの事件による全体的な財務的損失は約1億ドルに達した。これには事業中断に伴う8400万ドルの逸失利益と、外部コンサルタントへの報酬や法務費用として支払った1000万ドルの費用が含まれる。

MFAの不備で保険金が下りなかった自治体

　2024年2月に発生したカナダのオンタリオ州にあるハミルトン市へのサイバー攻撃は、保険の適用条件を満たさないことが、いかに組織を無防備な状態にするかを浮き彫りにした。攻撃者は、外部に公開されていた脆弱（ぜいじゃく）な認証情報を突き、市内のネットワークに侵入した。この事件によって、市のITインフラの8割がまひした。事業ライセンスの発行、固定資産税の処理、交通計画などの重要な公共サービスが数週間にわたって停止し、一部のバックアップデータは復旧不可能な状態に陥った。

　攻撃者は1850万カナダドルの身代金を要求した。ハミルトン市は、提供される復号ツールの信頼性が低いことや、犯罪組織への資金提供につながる懸念から、支払わないことを決定した。代わりに、市は復旧作業にほぼ同額の約1830万カナダドルを投じた。

　通常であれば、同市が加入していたサイバー保険によってこれらの損失は補填されるはずだった。しかし、保険の適用条件となっていた多要素認証（MFA）をITチームが完全に導入していなかったことが判明し、保険金の支払請求は却下された。適切なセキュリティ対策を怠った結果、財政負担を市民の税金で全額賄うことになったのだ。

　サイバー攻撃による被害が続出し、情報漏えいがもたらす影響が深刻さを増す中、組織は自らの事業や評判、そして財務状況を守るために、サイバー保険の役割をあらためて検討すべきだ。攻撃者の要求に従うか、あるいは毅然（きぜん）とした態度を貫くかにかかわらず、どのような損害が補償され、どのような対策が保険適用のために必要なのかを正確に把握しておくことが不可欠だ。