- 2018/07/31
- ランサムウェア
ランサムウェア攻撃よって発生する被害に関連するコストを把握する
Post by : FRED O'CONNOR
ランサムウェア攻撃よって発生する被害に関連するコスト算出する場合、組織が通常考えるのは、身代金のコストとデータ復旧のコストという2つだけです。
しかし、ここ最近発生したランサムウェア攻撃の後に、組織が障害復旧や損害復旧に費やした活動から判断すると、これら2つの要素以外にも考慮すべきことが分かります。一時的なスタッフの増員やコンサルティングサービスの利用に伴うコスト、生産性や売上の減少などもセキュリティ担当の役員は考慮すべき事項として念頭に置く必要があります。
コストの実態を明らかにするための一助とすべく、サイバーリーズンではいくつかの調査を行い、ネットワークの復旧に要しているコストや、攻撃を受けて生じたその他のコストなどを確認しました。
ランサムウェア攻撃よって発生する被害に関連するコストの実態
たとえば、米国ジョージア州のアトランタ市では、今年3月にランサムウェアの攻撃を受けて行政サービスが数日間停止し、緊急のITサービスの支出だけで、少なくとも260万ドルを費やしています。3月22日から4月2日にかけてアトランタ市の調達部門は総額2,667,328ドルで緊急事態対応のためのサービス、8つを契約しており、同市は、インシデント対応サービスやクライシスコミュニケーション、インシデント対応アドバイザリーサービス、クラウドエンジニアリングサービスなどの提供を受けています。アトランタ市のコンピューターは攻撃者によってSamSamマルウェアに感染し、犯人はビットコインで約5万ドル(当時のビットコインのレート)の身代金を要求してきました。
2月にランサムウェアの攻撃を受けたコロラド州運輸局(CDOT)は復旧作業が進まず、復旧のコストも膨大な額になっており、部分的な復旧のコストだけでもすでに100万ドルから150万ドルを費やしています。今回の事件では2,000台以上ものコンピューターがランサムウェアに感染していますが、その被害からの全面復旧にあたり、州政府が総額で約200万ドルの支援を行っています。CDOTのスポークスマンによれば、感染の拡大を食い止めるのに2週間を費やし、業務を復旧するのにさらに2週間かかったといいます。CDOTのネットワークの復旧には、情報セキュリティコンサルタントや連邦政府機関のサポートが必要でした。50人から150人が常時、ネットワーク復旧の作業に携わっていたと同局のスポークスマンは述べています。
サイバーリーズンの調査によれば、ランサムウェア攻撃の発生件数はそのピークを過ぎていますが、依然この脅威の影響力は強大です。それどころか、ランサムウェア攻撃の発生に伴い生じる損害コストはさらに拡大するものと見込まれます。サイバーリーズンの調査結果では、ランサムウェア攻撃は2015年にそのピークを迎え、以後ランサムウェアの感染率は低下を続けています。ただし、ランサムウェアによって生じる損害のコストは今後増加すると予想されます。Cybersecurity Venturesによれば、2019年までに、ランサムウェアによって生じる損害コストは11億5,000万ドルに達するといいます。この数字は2015年の3億2,500万ドルから2017年には50億ドルに増加しています。
身代金を支払っても問題が解決するとは限らない
ランサムウェア攻撃を仕掛ければ利益を得られるとの考えが広まり攻撃を助長するだけだとして、警察当局は、身代金の支払いには応じないよう呼びかけていますが、身代金の支払いを選択する組織も一部にはあるかもしれません。しかし、身代金を支払っても、問題がすぐに解決するとは限りません。
身代金を支払うには、ビットコインウォレットを開設する必要があります。この手続きにまず数日を要します。さらに攻撃者が身代金の入金を確認してこれを別の口座に移すのに数日がかかります。そして、攻撃者から暗号鍵の提供があると仮定して、ハードドライブの暗号を解除するのにさらに時間がかかります。サーバーリーズンの調査チームによれば、ハードドライブ上のデータの量が多ければその分、暗号の解除に時間がかかるといいます。同チームは、1TBのドライブで暗号の解除に約1週間かかると述べています。しかも、暗号の解除を必要とするコンピューターが企業には数百台から数千台あることを忘れてはいけません。
そして、身代金の支払いは、今後のセキュリティ体制の強化にほとんどつながりません。組織は新たな攻撃に対してさらに脆弱になってしまうおそれがあります。ランサムウェア攻撃などのセキュリティインシデントは、情報セキュリティシステムを強化するチャンスとなり得ます。役員や経営層にセキュリティが重要である理由を示し、さらにはCISOの予算を拡大する機会として活かせるのです。しかし、身代金を支払ってしまったら、セキュリティ部門のリーダーはその機会を失ってしまいます。
CIAの前CISO、Bob Bigman氏は次のように述べています。「過去において危機の発生時には、人々のあいだで何をなすべきかに関心が高まり、問題の解決方法がより素直に受け入れられています。何かセキュリティ上の問題が起こった場合、ほとんどのケースで、それを機会にセキュリティを改善できるのです」
ダウンタイムのコスト
攻撃を受けてシステムの復旧に時間を費やしているその分だけ、ビジネスチャンスが失われてしまいます。また、コンピューターやサーバーがダウンしてしまったら、病院では患者の治療ができなくなり、警察当局は捜査活動に支障をきたし、物流会社では商品の配送がストップしてしまいます。もちろん、このようなダウンタイムの発生は収益にも影響を及ぼします。サンフランシスコ市では、2016年10月に市営鉄道の地下鉄がランサムウェア攻撃を受け、乗車券の発券システムがダウンして、ほぼ3日間にわたり運賃を回収できない事態に陥りました。さらに、アトランタ市では、ランサムウェアの攻撃を受けて以降、住民が水道代料金の支払い処理ができなくなり、料金の回収が滞っていました。
また、ダウンタイムが発生すると、それに伴い、人的コストも発生します。システムの復旧に携わっているあいだ、セキュリティ部門やIT部門の担当者は本来の業務ができなくなります。そうなると、必然的に未処理の仕事が溜まっていくことになります。一部のケースでは、ネットワークが復旧するまでのあいだは対応できない業務を処理するために、派遣社員やコンサルタントを雇わねばならないこともあります。
ブランドイメージおよび信用の低下に伴うコスト
一部の組織では、ランサムウェア攻撃から受けるダメージは数字上の影響を超えて、ブランドイメージにまで及びます。この指標は計測が困難ですが、一部のセキュリティ担当リーダーは、セキュリティインシデントはブランドイメージの失墜と潜在顧客の喪失につながるリスクになると認識しています。
Snowflake Computingのセキュリティ担当バイスプレジデントのMario Duarte氏は次のように述べています。
「当社はデータの処理を扱っている企業ですが、データで企業の信頼度を評価する場合、ブランドは非常に重要な要素になります。単に数字だけでなく、企業そのもののイメージが重要になるのです」
ランサムウェア攻撃から組織が受けるダメージの規模を把握するためには、包括的な視点から組織全体に目を向ける必要があります。まず、ダウンタイムの発生が収益や企業のブランド、社員にどう影響するのか考えてみましょう。そして、ランサムウェア攻撃を受けた場合にシステムを復旧するまでの現実的な目標時間を設定しましょう。たとえ身代金を支払ったとしても、業務活動を正常に戻すまでに一週間以上はかかります。
ホワイトペーパー「ランサムウェアとは何か」
ランサムウェアによる攻撃は、ほかの攻撃手法にくらべ手間がかからず、その一方で攻撃者は、ずっと大きな利益を手に入れています。スパム型の攻撃はその効果がほぼ薄れており、また、クレジットカードや銀行口座の情報を盗む手口は、盗んだ情報を使って実際に金を盗み取るために、一定の犯罪基盤を必要とします。
では、ランサムウェアは、他のマルウェアとは何が違うのか?本書から3つの特徴を学ぶことができます。
https://www.cybereason.co.jp/product-documents/white-paper/1171/
