2022年、ランサムウェアによってハッカーに支払われた「身代金」は4億5680万ドル(約596億円)。とんでもない額!と思いきや、(もちろんとんでもない額なんですが)これ、2021年と比較するとかなり減っているのだそう。2021年にランサムウェア身代金に当てられた金額は7億6500万ドル(約998億円)。1年で約4割減。Chainalysisによる最新報告書が公開されています。
Chainalysisいわく、身代金被害額の減少は、攻撃数と被害額が比例して少なくなっているのではなく、攻撃を受けた被害者側が身代金の支払いを拒否するパターンが増えているからだといいます。
昨今、ランサムウェア被害による身代金の受け渡しは、仮想通貨で行うのが主要。ハッカー側の「利益」を推測するため、Chainalysisアナリストはランサムウェアハッキンググループに関わっていると思われるビットコインウォレットの資金移動を追跡。しかし、このやり方で完璧に把握できるわけではないので、Chainalysis側も推定利益が大幅に過小評価されている可能性があることは自ら指摘しています。
実際、米財務省の予想では2021年の身代金被害額は12億ドル(約1560億円)と、Chainalysisの7億6500万ドル(約998億円)を大幅に上回っています。とはいえ、Chainalysisとして毎年同じ方法でウォッチしており、年々資金の動きが減少傾向にあることがわかりました。
被害対象は大手から中小団体に
Recorded Futureのランサムウェア専門家であるAllan Liska氏は、2021年のコロナパンデミックピークから去年にかけて、ランサムウェア攻撃自体が減少傾向にあると指摘。10.4%ほど減っているといいます。また別の研究では61%減少という説もあるので、いずれにせよ身代金が減っているのも納得。ただ、前述の数字にもかなり幅がある通り、確かなデータで解析したものではないのであくまでも予想数値。
ハッキング被害に対応・アドバイスを行うCovewareは、昨年7月の報告書でランサムウェアへの身代金も、支払う頻度も減少していると明かしています。Covewareは自社顧客で実際に身代金を支払ったのは2022年は41%で、2021年の70%より大幅ダウン。(自社案件のみの数字とはいえ)さまざまな報告書の予想数値とそう違わない結果が出ているので、大幅に減少しているのは間違いないのかと。
Chainalysisは、ランサムウェアによる身代金(=ハッカーの利益)減少傾向について、大手企業・団体の意識が高まり、ターゲットが中小団体に移行していることも影響しているのではないかと指摘しています。米国では少なくとも2つの州(フロリダとノースカロライナ)で、納税者の資金を受ける団体がランサムウェアに身代金を支払うことが禁じられています。またFBIも「身代金を払ったからといって、データが安全に戻るという保証はない!」と厳しい意見を述べています。
Chainalysisの報告書では、ランサムウェア関連事案数自体は2021年よりも2022年の方が多かったとし、社会の意識が高まるなか、短期戦で身代金を狙う戦略が取られているとハッカートレンドを分析しています。
Source: Chainalysis
