〜ランサムウェア被害から考える〜 サイバーセキュリティで守る企業の信用<ランサムウェア被害が突きつける現実>前編
麗澤大学 経営学部 教授
吉田 健一郎
最悪のビジネスモデルへと進化したランサムウェア被害が突きつける現実
ランサムウェア(Ransomware)とは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。
従来は、企業や個人のコンピュータに侵入し、保存されている重要なファイル(顧客情報、財務データ、設計図など)を勝手に暗号化して使用不能にした上で、データを元に戻す(復号する)ことと引き換えに身代金(主に暗号資産)を要求するマルウェア(不正プログラム)を指しました。
しかし、近年は手口がさらに悪質化しています。データを暗号化するだけでなく、侵入時にデータを窃取し、「身代金を支払わなければ、盗んだ機密情報をインターネット上に公開する」と脅迫する「二重脅迫」が主流となっています。
いわば、ランサムウェアは、あなたの会社やパソコンに勝手に侵入し、大切なファイルにカギ(暗号)をかけて使えなくしてしまう「デジタル強盗」のようなものです。
データが示す日本の現状:世界平均を上回る「支払い率」
図1 日本におけるランサムウェア被害のトレンド
日本だと令和4年以降、高い水準を維持しており、今後減少していく気配は見えません。調査を実施した主体によって若干の違いはあるものの、SOPHOS社によるランサムウェアに関するグローバルレポートによると、ランサムウェア攻撃でデータが暗号化された組織のうち、56%が身代金を支払ったと回答しています。このレポートの日本版(日本のランサムウェアの現状 2024年版)によると、データが暗号化された日本の組織のうち、60%が身代金を支払ったと回答しており、世界平均(56%)を上回っています。
また、要求される金額も高騰しています。過去1年間で身代金の平均額(中央値)は40万ドルから200万ドルへと、実に5倍に急増しました。
24億円の損失:大手出版社を襲った衝撃
それでは、実際に被害に遭うと、企業はどれほどの損害を被るのでしょうか。2024年、誰もが知る大手出版社が大規模な攻撃を受けました。その損害規模は、数字で見ると一層の衝撃を与えます。
特別損失:約24億円(調査・復旧費用など)
業績への打撃: 営業利益の約13%に相当する損失
事業への影響: Webサービスの長期停止に加え、本業の出版事業も停滞
システム障害だけでなく、企業の屋台骨さえ揺るがす事態が現実に起きています。
■ 大規模サイバー攻撃によるシステム障害 – 業績影響
なぜ企業は払うのか? 確立された「闇のビジネスモデル」
なぜ、多くの企業が要求に屈して身代金を支払ってしまうのでしょうか。 それは、攻撃者が「情報漏洩」という致命的なリスクを人質に取ることで、被害者側に「身代金を払う方が、信用の失墜や賠償などの二次被害よりも安くつく」という合理的な判断を強いているからです。
被害企業にとって、身代金はデータを戻す対価ではなく、さらなる被害を防ぐための「保険」や「口止め料」としての意味合いを強めています。 攻撃者は収益を上げ、被害者は(短期的には)損害を抑えられる。この歪んだ経済合理性が成立してしまっていることこそが、ランサムウェアを「儲かるビジネスモデル」として定着させ、攻撃を加速させている最大の要因です。
———
もはやランサムウェア被害は他人事ではありません。後編では、こうした脅威に対して具体的にどのような対策を講じるべきか、詳しく解説していきます。
吉田 健一郎
麗澤大学 経営学部 教授
経営情報論を元に行政のデジタル化/サービスデザイン等を主な研究分野とし論文や書籍を執筆している。これらの専門領域はマーケティング範囲などにも応用した書籍「自転車のまちをデザインする」の編著にも通じている。(同書籍の編著者)
また、大学教育については経営情報論やプログラミング(Python)から、ビジネスイノベーションプロジェクトなどの科目まで担当し、産学連携や地域連携まで専門分野を拡大。
教育研究者としてSNSマーケティング向けにTikTokの運用も開始。学生や実務者、教育者など多くの関係者との交流から生まれる「理解してくれる」講義体系が社会人や学生にも好評。
2023年にビズアップ総研登録講師検査をクリアし、行政機関/教育機関/一般企業等に楽しくデジタル文化を醸成するためのポイントを伝えている。
経営情報学会・官の情報システム研究部会の主査を長年つとめ、行政のデジタル化に関する研究を続けている。
「登録する」をクリックすると、認証用メールが送信されます。メール内のリンクにアクセスし、登録が正式に完了します。
登録無料
売上アップの秘訣や事務所経営に役立つ情報が満載税理士.chの最新記事をメールでお知らせ
