ランサムウェアが話題にならない日はほとんどない。先週、ITコンサルティング大手のAccenture(アクセンチュア)がランサムウェア「LockBit(ロックビット)」の被害に遭ったばかりだが、その数日後には、台湾のノートPCメーカーであるGigabyte(ギガバイト)もランサムウェアの被害に遭ったとみられ、ハッカーたちによってAMDとIntel(インテル)の機密データがギガバイト単位で流出した。
ランサムウェアは、新型コロナウイルス感染拡大時に急増したが、依然として企業にとって最も費用の掛かる問題の1つである。米国の大企業はランサムウェアによって毎年平均566万ドル(約6億2400万円)もの損害を被っている。しかし、新たな調査結果によると、それはあなたが考えるような理由からではない。
ハッカーから数百万ドル(数億円)規模の身代金の支払いを要求されるという話はよく耳にするが、Proofpoint(プルーフポイント)とPonemon Institute(ポネモン・インスティテュート)の調査によると、身代金の支払いがランサムウェア攻撃に対する総費用に占める割合は一般に20%以下であることがわかった。年間566万ドルという数字のうち、身代金の支払いは79万ドル(約8700万円)に過ぎないということだ。それよりもむしろ、生産性の低下や、ランサムウェア攻撃を受けた際の対応や後始末に時間がかかることが、企業の損失の大半を占めているという調査結果が出ている。
Proofpointによると、平均的な規模の組織の復旧プロセスには平均3万2258時間が必要で、これにIT部門の平均時間労賃63.50ドル(約7000円)を掛けると、合計200万ドル(約2億2000万円)以上になる。また、作業休止や生産性低下もランサムウェア攻撃が招く支出増の一部だ。例えば、2020年のランサムウェア攻撃における約20%の根本原因と判断されたフィッシング攻撃は、2015年の180万ドル(約2億円)から、2021年には320万ドル(約3億5000万円)もの従業員の生産性低下をもたらしている。
「ランサムウェア攻撃を受けると、従業員と影響を受けた外部関係者との間で連絡ややり取りが膨大に増えることになり、多くのチームは『日常業務』の一部である既存の仕事をすべて直ちに中止し、数日から数週間、あるいは数カ月間も、この緊急の問題に集中しなければならなくなる可能性があります」と、ProofpointのAndrew Rose(アンドリュー・ローズ)氏はTechCrunchに語った。
「必然的に、顧客や規制当局からの監視が厳しくなり、第三者機関への依存度が高まります。これには顧客や規制当局の求めによる外部監査の大幅な増加も含まれますが、これも作業コストの増加につながります。また、規制当局からの罰金や、顧客からの集団訴訟の可能性もあります」と、ローズ氏は語る。
企業が取り組まなければならない金銭的な問題はこれで全部ではない。ランサムウェアの被害に遭った企業は、サイバー保険料の増加や高額なIT経費を強いられ、広報チームや法務担当者、カスタマーサービスの人件費、そして外部の専門家への支出も増加する可能性がある。
また、このような攻撃を受けた場合、ブランドや評価に傷がつくこともある。Cybereason(サイバーリーズン)による最近の調査では、米国企業の半数以上が、ランサムウェアの攻撃によって自社のブランドが損なわれたと報告している。
「上場企業の場合は、株価が下がる可能性もあります」と、ローズ氏は付け加えた。「また、顧客は自分のデータが危険にさらされていたことを知ると、その企業に対する信頼を失い、競合他社に乗り換えてしまうことも考えられます。それによって収益が低下する恐れもあります」。
関連記事
・米国がExchangeサーバーのハッキングとランサムウェア攻撃で中国を非難、政府系ハッカー4人を起訴
・ランサムウェアの問題を可視化するクラウドソースの身代金支払い追跡サイト「Ransomwhere」
・独立記念日を狙うKaseyaのハッキング、ランサムウェアで何百もの企業に被害
画像クレジット:Bryce Durbin / TechCrunch
[原文へ]
(文:Carly Page、翻訳:Hirokazu Kusakabe)