チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「サイバー保険に入っているから安心と思っていたけど、それが逆に狙われる理由になるの?」
「ランサムウェアの身代金って、どうやって金額が決まるんだろう…」
チップスボス!
ランサムウェアの攻撃者が、被害企業のサイバー保険の金額を調べてから身代金を決めてるって聞いたでしゅ!
保険に入ってると逆に危ないんでしゅか!?
ボス「払える額」を知った上で要求してくるということだ。
保険があるから安心、ではなく、保険があるから狙われる。
攻撃者のビジネスモデルは、ここまで進化している。
RSAC 2026で、Illumioのチーフエバンジェリスト Jennifer Kirkbridge氏が、ランサムウェア攻撃者がサイバー保険情報を要求額の設定に活用している実態を発表しました。
保険加入企業への身代金要求額は平均2.8倍に跳ね上がるというデータも示されています。
サイバー保険との正しい付き合い方を考えるために、攻撃者の手口を詳しく見ていきましょう。
ランサムウェア攻撃者は、暗号化の前に企業のファイルサーバーを徹底的に物色します。
攻撃者がネットワークに侵入してから暗号化を開始するまでの間に、企業のファイルサーバーや経営層のメールボックスを漁るのは今や常套手段です。
その過程で、サイバー保険の契約書や保険証券が見つかれば、補償上限額がそのまま「交渉の基準値」になります。
たとえば「1,000万ドルの保険に加入している」と判明すれば、攻撃者は1,000万ドルに近い要求額を設定します。
保険があるから払えるはずだ、という計算です。
チップス保険の契約書って、普通にファイルサーバーに置いてありそうでしゅ…。
うちの会社もそうだった気が…。
ボス保険契約情報は機密扱いにするべきだ。
アクセス権を経営層と法務に限定し、暗号化して保管する。
攻撃者に「いくら払えるか」を教えてはならない。
サイバー保険はあくまで「最後の砦」であり、セキュリティ対策の代替にはなりません。
Kirkbridge氏は、セキュリティポリシーを適切に実装できていない企業が攻撃を受けた場合、要求額が2倍以上に跳ね上がると指摘しました。
逆にいえば、しっかりとした対策を講じていれば、被害を受けても交渉力が維持できるということです。
保険は「入って終わり」ではありません。
補償条件に定められたセキュリティ対策を満たすことが、保険金支払いの前提条件になっている点にも注意が必要です。
チップス保険があるから安心、じゃなくて、保険を使うためにも対策が必要ってことでしゅね。
保険契約書の保管場所、すぐ確認するでしゅ!
ボスそうだ。保険は盾ではなく保険にすぎない。
盾はあくまで日々のセキュリティ対策だ。
その順番を間違えるな。
ランサムウェア攻撃者が保険情報を活用して要求額を吊り上げるという実態は、サイバー保険への過度な依存に警鐘を鳴らしています。
保険契約情報のアクセス管理、セキュリティポリシーの確実な実装、バックアップによる自力復旧体制の整備が欠かせません。
保険加入の有無に関わらず、「攻撃者に付け入る隙を与えない」体制づくりを優先してください。
