保険業界の専門家たちが、恐喝専用攻撃(暗号化を伴わない恐喝)の急増を受け、企業に対してこのカテゴリの脅威へのエクスポージャーを低減し、被害発生時の影響を適切に管理するよう呼びかけています。
保険会社のResilienceは新たなレポートの中で、2025年下半期に同社が処理した恐喝関連の保険請求のうち65%がデータ暗号化を伴わない攻撃だったと発表しました。これは同年上半期の49%から大幅に上昇した数字です。
2025年末の時点では、暗号化のみに依存した攻撃はわずか13%にとどまり、データ窃取(単独、または暗号化との組み合わせ)がランサムウェア被害請求の87%を占めるに至っています。
同レポートはまた、データの漏洩・売却・共有を阻止するために身代金を支払った契約者のうち、30〜40%が目的を達成できなかったことも明らかにしています。
「復号鍵のための身代金支払いは、結果を検証できる取引です——鍵が機能するかしないか、それだけのことです」とレポートは指摘しています。「一方、データ抑制のための支払いはまったく別物です。デジタルコピーが削除されたという犯罪者の約束に対価を払うものであり、その約束を確認する手段はありません。」
恐喝に関する関連記事:CISOの半数以上がハッカーへの身代金支払いを検討——その実態とは
こうした調査結果は、身代金支払いに反対する根拠をさらに強固なものにしています。支払いを行うことで、その組織が将来の攻撃ターゲットとしてマークされることも少なくありません。
「身代金の支払いは、もはや単純な復旧判断ではありません」と、Resilience Risk Operation Centreのディレクターでレポートの著者であるジャド・ドレスラー氏はInfosecurity誌に語っています。
「現在の多くの攻撃では暗号化も復号鍵も存在しないため、企業は事実上、犯罪者からの約束に対して支払いをしていることになります。盗人に仁義などないのです。」
その代わり、データ侵害によって恐喝要求を受けた場合には、プロの交渉人に支援を求めることが有効です。交渉人は時間を稼ぎ、恐喝額を窃取データの正確な評価額に基づいて設定させるなど、様々な面で貢献できます。
ただし同レポートによれば、身代金を支払った場合でも窃取データの30〜40%は最終的に漏洩するとされています。一方、支払いを拒否した場合の漏洩率は40〜50%となっています。
リスクエクスポージャーの低減策
1月に公表されたレポートによると、2025年にはデータ窃取のみを手段とした恐喝攻撃が約1,500件に達しており、前年の28件から激増しています。
こうした恐喝の急増を踏まえ、Resilienceはリスクエクスポージャーを低減するための以下の方策を推奨しています。
- 復旧から予防へのシフト:データ流出防止(DLP)技術を優先導入して持ち出しを事前に遮断し、IDが侵害された際の被害範囲を限定するゼロトラストアーキテクチャを展開すること
- 身代金支払い判断への備え:「意思決定フレームワーク」を策定し、法律顧問・インシデント対応の契約先・支払い決定における明確な権限系統を事前に整備すること
- 保険証券情報の保護:可能な限り主要ネットワークの外部に保険関連文書を保管し、不正アクセスや持ち出しを監視すること。これらの情報は攻撃者に交渉材料を与える可能性があるため
- 対応準備のテスト:テーブルトップ演習や侵害シミュレーションを通じて、身代金支払いの判断を含む「恐喝特有の意思決定ポイント」を検証すること。演習にはセキュリティチームだけでなく、法律顧問・広報・経営幹部も参加させること
- 財務的影響の長期追跡:企業と保険会社は、規制当局による罰金・訴訟の結果・顧客離れ・レピュテーション回復のコストを継続的に追跡し、支払いおよび拒否した場合の真のコストをより正確に把握すること
「攻撃者がどのように行動し、どのように交渉し、どのようにターゲットを選ぶかを理解することが、重要な局面で正しい判断を下すための唯一の武器になります」とドレスラー氏は締めくくっています。
「実務上の教訓は明確です。予防を最優先とすること——データ流出はその前に食い止めなければなりません。インシデントが起きる前から法律顧問とインシデント対応の専門家を確保し、テーブルトップ演習で身代金支払いの判断を事前に検証しておくことが不可欠です。プレッシャーのかかる局面で、経営陣がその問いに初めて直面するような事態は避けなければなりません。」
翻訳元: https://www.infosecurity-magazine.com/news/extortion-only-attacks-surge/
