ランサムウェアの攻撃件数は前年比24%増加しているが、これをベースにランサムウェア攻撃の総損害額を予測すると、なんと前年度比7倍強になると推定される。ランサムウェアのニュースが報道されるたびに、身代金の額に注目が集まるが、これはサイバー攻撃者が要求した金額や被害者が実際に支払った金額など、身代金が見える金額として明確に数値化できることが理由であるが、損害総額を考えると、これは大きな問題である。
ランサムウェアの被害に遭った場合、企業が負担しなければならない現実的な損害額は、身代金だけではないことを誰もが知っている周知の事実である。しかし、この損害総額が公にされることはほとんどない。そのため、多くの場合、ランサムウェアの攻撃によって被害組織が実際にどれだけの損害を被ったかは推測に過ぎない。
Check Point社と Kovrr社の最新リサーチ分析は、この問題に踏み込んで、身代金の支払い額はランサムウェア攻撃から生じた実質的な総損害額のごく一部に過ぎないことを明らかにしている。初動調査からインシデント対応、そして原状回復のためのコスト、弁護士費用、事後の監視作業、売上減少などのビジネスへ影響がもたらす損失を考えると、ランサムウェアに感染した実際の組織の被害項目は、身代金の支払いだけでなく、非常に多くの付随コストがかかることは明白である。
Check Pointの調査によると、身代金の平均支払額は最初に提示された身代金要求額の48.6%である。サイバー攻撃者の最初の要求額は、被害者の年間売上の約2.82%にあたると推定されるこれを計算すると、平均的な身代金の支払額は年間売上高の約1.37%となる。しかしながら、前述のように、ランサムウェア攻撃がもたらす付随コストをこればかりではない。
では、実際に2017年から最近までの次の6つのランサムウェア攻撃事例(Check Point提供)を考察してみよう。他のコストと比較して、「Extortion(恐喝額)、つまり身代金の支払い額を見れば、ランサムウェア攻撃がもたらすその他の付随コストがどれだけ大きいかを確認できる。
ランサムウェア攻撃の平均的な総損害コストは、支払われた身代金額の7.083倍に達することが分かる。これは、なんと、ランサムウェア攻撃の平均損害コスト総計は、被害者の年間売上の平均9.7%に相当するのである。
では、ここで、計算してもらいたい。ランサムウェア攻撃がもたらす金銭的な損害総額と、あなたの環境において、最も防御されていない、防御すべき、あなたの従業員をランサムウェア攻撃から守ることを含む、多層防御戦略を実装するためのコストを比較してください。どちらが、よりコストがかかるでしょうか?
セキュリティ戦略の一環として新しいスタイルのセキュリティ意識向上トレーニング (KnowBe4ではNew Schoolと呼ぶ)を導入している企業は、ランサムウェア攻撃の発端となるソーシャルエンジニアリング攻撃を回避すること対応している。これによって、ランサムウェア攻撃の標的になることを大幅に削減することに成功している。
原典:Stu Sjouwerman著 2022年4月28日発信ブログ https://blog.knowbe4.com/eye-opener-the-ransom-payment-is-only-15-of-the-total-cost-of-ransomware-attacks
