ソフォスの「ランサムウェアの現状レポート2025年版」によると、ランサムウェア攻撃における身代金の要求額の平均(中央)値が前年比34%減と大幅に減少したということです。ランサムウェア攻撃に何が起きているのでしょうか?
支払額も前年比50%の減
ソフォスのランサムウェア調査は毎年行われているもので、2025年版は2025年1月から3月にかけて従業員数100人から5000人の組織でITやサイバーセキュリティを担う世界17カ国計3400人に過去1年間のランサムウェア攻撃に関する状況を第三者機関が回答を得て集計したものだということです。対象となった17カ国はいずれも過去1年間にランサムウェア攻撃を受けている国としています。ですので2024年のランサムウェア攻撃の状況について現場の声を集計した報告書だということです。
この報告書で気になったのが、身代金の要求額の平均(中央値)が前年と比べて3分の1程度に減少したということです。またランサムウエア攻撃の支払額の平均(中央値)も前年と比べて50%減ったということです。要求額も支払額も大幅に減ったということですから、ランサムウェアの犯罪ビジネスが縮小している印象も抱きますが、一方で身代金を支払ってデータを復旧させた組織の割合は、データを復旧させた組織全体の49%と依然として高い割合を占めていることから、ランサムウェアビジネスに陰りがみられていると考えるのは早計かもしれません。
最初の身代金要求額と同額の支払いをした組織は、身代金の支払いをした組織全体の29%を占め、最初の要求額よりも高い身代金の支払いをした組織は18%だった一方、残りの53%は最初の要求額よりも低い額を支払っており、その結果、身代金の支払い額の平均値は攻撃者の要求額の平均値の85%にとどまっています。当初の要求額以上の金額を支払ってしまったケースでは、データのバックアップを試みたものの失敗し攻撃者に付け込まれて金額が上がったケースや迅速に支払いをしなかったため攻撃者が要求額を引き上げたなど攻撃者側からの要求つり上げに応じざる得なかった実態が垣間見えます。一方で当初の要求額以下の金銭支払いをしたケースでは、攻撃者との交渉で引き下げされたケースやメディアや法執行機関からの圧力によって攻撃者が要求額を引き下げたケース、迅速に支払いをしたら値引きされたなどいろいろなケースがあるようです。
要因は高額案件の減少? 一方で恐喝型は増加
ソフォスによると、ランサムウェア攻撃の支払額が大幅減ったのは500万ドル以上の高額な身代金の支払いが減ったことが要因だということですが、これが攻撃者側の状況によるものなのか、被害者側が高額な支払いをしなくなったということなのか、そもそも大型のランサム案件が減少しているのか明確ではありませんが、要求額自体が大幅に減っている状況なので大型案件が減ったということなのかもしれません。
さらに調査結果によると、データを暗号化しないで組織を脅す恐喝型が倍増しており、従業員100~250人の小規模組織の13%が恐喝型攻撃を経験しているのに対して、従業員3001~5000人の規模の組織で恐喝型攻撃を受けたのは3%にとどまっているということですから、従来のデータの暗号化による大規模な攻撃からより弱い立場にある組織を恐喝して組織の規模に応じた金銭を要求する攻撃に変遷している実態があるのかもしれません。一方、データ窃取については小規模組織よりも大規模組織の方が被害を受けている実態があるようてす。
ソフォスは、予防、保護、検知と対応、計画と準備という4つの分野について重点店に取り組むことが重要だと提言しています。