近年、社会に大きな影響を与えているサイバー攻撃の最たるものの1つがランサムウェアだ。ランサムウェア攻撃者がとる攻撃手法は近年より凶悪なものとなり、ランサムウェアによって被害組織が受けるダメージも大きくなっている。
ランサムウェアによる被害に備え、セキュリティ対策の見直しや強化をする必要があることはもちろんだが、中にはリスク移転として最近話題になることが増えてきた「サイバー保険」を検討している方もいるのではないだろうか。
この記事では、深刻化するランサムウェア被害により組織が受ける影響と、サイバー保険による補償について紹介する。

ランサムウェア被害組織が受ける影響

被害組織が受ける影響を知ることは、有効な対策を検討する上で重要だ。ランサムウェア攻撃の影響は広範囲に及ぶ。ここでは組織が被る主なダメージとして、莫大な身代金と復旧コストを紹介する。

ランサムウェア攻撃による莫大な身代金

一般的にランサムウェア攻撃というと、ランサムウェアによるファイルの暗号化やシステムのロックを連想しがちだ。しかし、現在ランサムウェア攻撃者はファイルの暗号化だけではなく、さまざまな脅迫手法を併用している。
ファイルの暗号化やシステムのロックに加え、盗み出した機密情報を攻撃者グループが運用するリークサイト上で暴露するという二重の脅迫が2019年後半から確認されている。さらに、被害組織が運用するサービスに対してDDoS攻撃を仕掛けたり、搾取した情報から被害組織の顧客や取引先にまで嫌がらせを行うといった、三重、四重の脅迫も確認されている。
こうした攻撃手法の凶悪化とともに身代金の要求額は増加傾向にある。セキュリティ企業Coveware社による調査では、ランサムウェアによる身代金の支払い額が、2022年第3四半期の平均値で258,143ドル（3,500万円相当）と報告されている。^*1

暗号化からの復旧に要するコストと期間

ランサムウェア攻撃者による身代金要求に加え、ランサムウェア被害組織が受ける主なダメージとして、調査・復旧コストが挙げられる。警察庁が国内のランサムウェア被害組織に対するアンケート調査結果を公表しているが、この調査結果によると、2022年上半期に報告があった被害組織のうち、過半数を占める55%がランサムウェア被害の調査・復旧費用の総額に1,000万円以上要したと回答している。さらに、全体の18%は調査・復旧費用が5,000万円以上に及んでいる。この結果からも、ランサムウェア被害組織にとって調査・復旧コストが、大きな負担になることが分かる。

また、被害からの復旧に長期間を要すケースがある。警察庁によるアンケート調査結果によると、被害組織の23%が被害から復旧までに1ヶ月以上要したと回答している。調査時点で復旧中と回答している被害組織もあることを考えると、復旧に長期間を要した被害組織の割合がさらに増える可能性もある。ランサムウェア被害では、ファイル暗号化やシステムがロックされたことにより、復旧できるまで事業の縮小や停止を余儀なくされることも珍しくない。事業縮小や停止は機会損失につながり、復旧が長期間に及ぶ場合、経営に大きな影響を与えるといえるだろう。

国内のランサムウェア被害組織が復旧に要した調査・復旧費用
（警察庁の資料をもとに作成）^*1

国内のランサムウェア被害組織が調査・復旧に要した期間
（警察庁の資料をもとに作成）^*1

*1 令和４年上半期におけるサイバー空間をめぐる脅威の情勢等について（警察庁）

サイバー保険という選択肢

サイバー保険とは

サイバー保険はサイバーリスクに起因して発生するさまざまな損害に対応するための保険だ。サイバー事故により企業に生じた第三者に対する「損害賠償責任」のほか、事故時に必要となる「費用」や自社の「喪失利益」を包括的に補償する。補償対象となる事故には、「情報漏えいまたはそのおそれ」、「ネットワークの所有・使用・管理に起因する他人の業務阻害」、「サイバー攻撃に起因する他人の身体傷害・財物損壊」などがある。
似た保険に「個人情報漏えい保険」がある。個人情報漏えい保険が個人情報漏えいまたはその恐れに伴う損害賠償責任や費用を補償の対象としていることに対し、サイバー保険はこれらに加えて、サイバー攻撃またはその恐れに伴う損害賠償責任や費用も補償の対象としているという点が違いだ。

サイバー保険で補償される内容 ※

サイバー保険は、サイバー事故に起因して一定期間内に生じた各種費用や、ネットワークを構成するIT機器などが機能停止することによって生じた利益損害や営業継続費用を補償する。サイバー保険で補償される内容は提供する保険会社やそのプランにより異なるが、主に以下の項目がある。

• 損害賠償責任
  • 損害賠償費用
  • 争訟費用
• 事故対応費用
  • 事故原因調査
  • コールセンター設置
  • 記者会見
  • 見舞金の支払
  • 法律相談
  • 再発防止策の策定
• 利益損害
  • 喪失利益
  • 収益減少防止費用
• 営業継続費用

※補償内容は、保険会社や保険会社が提供するサイバー保険のプランにより異なります。詳細は保険会社・代理店にご確認ください。

サイバー保険でランサムウェア被害を補填できるのか？

ランサムウェア被害に遭い身代金の脅迫を受けた場合、被害組織がとる対処方法は大きく2つに分かれる。

• 身代金の支払いを拒否し、バックアップなどから復旧する
• 身代金を支払い、攻撃者から復号鍵を購入する

望ましい対処方法は議論の余地なく前者だ。しかし、サイバーセキュリティ関連企業のProofpoint社が世界の約600の企業などを対象に行った調査によると、2021年にランサムウェアの被害に遭った組織のうち、米国で64％、英国で82％、主要7カ国の平均で58%の組織が「身代金を支払った」と回答している。日本では支払ったと回答した組織の割合が低いものの、20％が要求に応じたと回答したとされている。
万が一、後者を検討する場合は、組織の所属国における法制度上、身代金支払いが可能なのかに加え、支払った事実が公になった場合のレピュテーションリスク、身代金を支払ったにも関わらず攻撃者が約束を守らない可能性などにも注意を払う必要がある。また、補償対象となる損害は保険会社や契約したサイバー保険のプランによって異なるほか、国による違いもある。

日本のサイバー保険

国内で販売される多くのサイバー保険では、損害賠償責任や事故対応費用、利益損害が補償対象となっている。デジタル・フォレンジック調査などの事故原因調査、コールセンターの設置などの事故対応費用のほか、昨今のランサムウェア攻撃で常態化している二重の脅迫などによる情報漏えいに対する損害賠償費用などにも補償を受けることができると考えられる。※

ここで注意が必要なのが、「ランサムウェアの被害によって支払った身代金はサイバー保険の補償対象にならない」という点だ。経済産業省は「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」において「（サイバー攻撃者への）金銭の支払いは厳に慎むべきものである。」と明記している。
攻撃者へ身代金を支払う行為はテロ等の犯罪組織への資金提供とみなされ、金銭の支払いを行った企業に対して制裁が科される可能性もあり、国内のサイバー保険においては補償の対象外とされている。同様にビジネスメール詐欺により加害者の口座に振り込んだ金額も一般的にサイバー保険の補償対象とならない。

※補償内容は、保険会社や保険会社が提供するサイバー保険のプランにより異なります。詳細は保険会社・代理店にご確認ください。

海外のサイバー保険

海外の組織が発行するランサムウェア被害に関するレポートを見たことがある人の中には、サイバー保険を用いて身代金の支払いを行った事例を目にしたことがあるだろう。海外では、ランサムウェア被害を受けた組織が身代金の支払いにサイバー保険を活用する事例も多く確認されている。例えば、2019年に Sodinokibi （REvil）の被害を受けた Norsk Hydro 社は、AIG 社のサイバー保険で 2,020万ドル（27憶6,700万円相当）の補償を受けている。

こうしたサイバー保険に関する統計情報は、保険会社がリリースするレポートからも確認することができる。保険会社の Coalition 社は同社のサイバー保険に関するレポート「Cyber Insurance Claims Report」を公開している。このレポートによると、2020年上半期に同社によせられた保険請求の 41%がランサムウェア攻撃であり、保険加入組織の0.57％が保険金支払いの請求をしたとされている。2022年上半期の保険請求における、ランサムウェア攻撃が占める割合は公開されていないが、保険加入組織が保険金支払いを請求した割合は0.41%と2020年上半期とほぼ同じ水準となっていた。^*2
ランサムウェアの身代金支払いが補償対象に含まれるか否かは、被害組織の所属国における法制度上の違いなどもあり、明確な国際基準がないというのが現状だ。また、現在、身代金支払いがサイバー保険の補償対象に含まれる国であっても今後変化する可能性もある。2021年5月には欧州の大手保険会社AXA社がフランス政府の要請を受け、ランサムウェア攻撃の被害組織がサイバー犯罪者に支払った身代金を補償する契約を停止すると報じられている。こうした方針を発表した保険会社はAXA社のみだが（2022年6月1日時点）、今後増加する可能性も考えられる。

*2 2022 Cyber Claims Report: Mid-year Update (Coalition)

サイバー保険加入組織を狙うランサムウェア攻撃者グループ

サイバー保険によるランサムウェア被害の補償対象とするべきか議論される一方で、ランサムウェア攻撃者グループがサイバー保険の加入組織を積極的に狙うケースも確認されている。2021年8月に公開されたRussian OSINTによるランサムウェア攻撃者グループLockBitのメンバーに対するインタビューでは、LockBitが米国や欧米諸国を頻繁に標的とする理由として、米国や欧米諸国ではランサムウェア被害を補償するサイバー保険が普及している点を挙げている。また、2021年3月、Sodinokibi（別名：REvil）を使う攻撃者グループGOLD SOUTHFIELDのメンバーである”Unknown”は次のようにコメントしている。

"this is one of the tastiest morsels. Especially to hack the insurers first-to get their customer base and work in a targeted way from there. And after you go through the list, then hit the insurer themselves.”
（それは最もおいしいものの 1 つだ。特に、最初に保険会社をハッキングし顧客ベースを獲得して、そこからターゲットを絞って仕事（ランサムウェア攻撃）をする。 そして、リストを使いつくした後、保険会社そのものを攻撃する。）

ランサムウェア攻撃者グループが被害組織のサイバー保険加入状況を把握したうえで攻撃や身代金要求を行う事例は他にも確認されている。ランサムウェア攻撃者と被害者との間の交渉700件以上を、NCC Group傘下のFox-ITのサイバーセキュリティ研究者が分析した結果では、ランサムウェア攻撃者と被害者との間の交渉において、被害者がサイバー保険に加入しており、それを攻撃者が知った場合、攻撃者は保険金を前提に身代金の金額を設定するため、身代金の要求額を保険金以下に下げる交渉の余地はないことが示されている。

また、サイバーセキュリティ関連企業のTailon社による調査結果では、サイバーセキュリティ専門家の3分の2以上（70%）が、ランサムウェアの問題が被害組織へのサイバー保険の支払いによって悪化していると考えている、と述べられている。前述のとおり、ランサムウェア被害からの復旧には、大きなコストと長い時間を伴うことも珍しくない。ビジネスの復旧を優先する被害組織の経営者が、支払った身代金をサイバー保険で賄うことができることで、「身代金を支払う」と判断をしても不思議ではないだろう。こうした観点からもサイバー犯罪者に対する金銭の支払い行為をサイバー保険の補償対象とするべきかの議論は今後も続くと考えられる。

サイバー保険を利用する前に

本記事ではランサムウェアに焦点をあて、深刻化するランサムウェア被害により組織が受ける影響と、サイバー保険による補償について紹介した。ランサムウェア攻撃者グループの脅迫手法の凶悪化とともに、被害組織が受ける影響は大きくなっている。ランサムウェアによる被害に備え、セキュリティ対策を見直し・強化するとともに、リスク移転の選択肢として登場したサイバー保険も備えの選択肢となるだろう。
一方で、サイバー保険の補償対象は保険会社やそのプラン、所属する国によって異なる。万が一の事態が発生したときに「こんなはずじゃなかった」とならないように、契約前に補償対象をしっかりと確認して適切な使用を判断してほしい。