サイバー攻撃は年々高度化しているだけでなく、「ビジネスとして成立している」点が最大の脅威です。攻撃者は趣味や愉快犯ではなく、投資対効果(ROI)を計算し、分業体制で効率的に利益を上げています。結果として、私たちは“技術的に強い”だけでは守りきれない、経済合理性に裏打ちされた攻撃と向き合う必要があります。本稿では、サイバー攻撃がなぜ儲かるのかを収益モデルの観点から整理し、企業が取るべき実務的な対策を解説します。
サイバー攻撃が儲かる理由は「低コスト・高回収・低リスク」
攻撃が収益化しやすい理由はシンプルです。攻撃者側にとって初期投資が相対的に小さく、成果(身代金・転売益・不正送金など)を回収しやすく、摘発リスクを下げやすい構造が揃っています。
第一に、攻撃コストの低さです。脆弱性探索、フィッシング、認証情報の収集、マルウェアの運用などは、既製ツールとクラウド環境の活用でスケールできます。さらに、攻撃者コミュニティには“マニュアル”やテンプレートが流通し、熟練者でなくても一定の成果が出やすい土壌があります。
第二に、回収のしやすさです。ランサムウェアに代表される恐喝は、被害者の「事業停止コスト」を人質に取り、支払いを合理的判断に見せかけます。特に復旧に時間がかかる環境、バックアップが不十分な組織、社会的信用を失いたくない企業ほど支払い圧力が高まります。
第三に、摘発の難しさです。国境を越えたインフラ利用、匿名化、暗号資産の活用、分業化(後述)が組み合わさり、捜査のハードルを上げています。攻撃者は法執行機関の能力や政治状況まで織り込んで活動地域や標的を選定します。
攻撃者は「組織化・分業化」している:RaaSが生む収益エコシステム
現代の攻撃を理解する鍵は、攻撃者が一枚岩ではなくサプライチェーン型に分業している点です。代表例がRaaS(Ransomware as a Service)です。ここでは、ランサムウェア本体を開発する“運営者”と、侵入や展開を担う“アフィリエイト(実行部隊)”が役割分担し、収益を分配します。
分業化が進むと、攻撃者側の生産性が上がります。開発者はマルウェアの改良、回避技術、交渉テンプレート、リークサイト運営などに集中し、実行部隊は標的探索、初期侵入(フィッシング、脆弱性悪用、認証情報の悪用)、権限昇格、横展開に特化できます。結果として攻撃サイクルが短縮し、同じリソースでより多くの被害を生みます。
さらに、初期侵入に使われるアクセス権は“商品”として取引されます。侵入済みネットワークのアクセス(Initial Access)は、業種・規模・地域・推定売上などの属性付きで売買され、購入者は最初から内部にいる状態で攻撃を始められます。これは攻撃者にとって時間短縮=コスト削減であり、収益性を一段押し上げます。
「データ」は何度でも売れる:恐喝・転売・詐欺の多重収益
攻撃が儲かる背景には、データが“再利用可能な資産”であることがあります。かつては暗号化して身代金を取る単線的なモデルが中心でしたが、近年は多重恐喝が一般化しました。
典型は、暗号化+情報窃取+リーク予告の組み合わせです。被害者が復旧できても「情報公開を止める対価」として追加の支払いを迫れます。加えて、盗んだデータは別市場で転売でき、社員や取引先への二次フィッシング、なりすまし、請求書詐欺(BEC)にも転用されます。つまり一度の侵入で複数の収益源を作れるため、攻撃者の期待値は高まります。
企業側の“支払い能力”と“停止コスト”が攻撃者のターゲティングを決める
攻撃者は無差別に見えて、実際は経済合理性で標的を選びます。支払い能力が高い業種(医療、製造、物流、金融、SaaSなど)、24時間止められない業務、社会的説明責任が重い組織は狙われやすくなります。
また、サプライチェーンの中核企業や、取引先に影響を与えやすい企業も標的になります。攻撃者にとっては、1社を落とすことで“波及被害”という交渉材料を得られるからです。加えて、クラウドやリモートアクセスの普及により、境界防御だけでは防ぎにくい入口が増え、攻撃機会も拡大しています。
防御側が取るべき現実的な対策:利益構造を崩す
サイバー攻撃を減らすには「侵入をゼロにする」発想だけでなく、攻撃者が儲からない状態を作ることが重要です。実務上は次の4点が中核になります。
復旧可能性を高め、恐喝の成功確率を下げる
ランサムの収益性は「止まる」「戻らない」という恐怖に依存します。オフラインまたは不変(イミュータブル)なバックアップ、復旧手順の定期訓練、RTO/RPOの現実的設定、重要システムの代替手段(手作業・縮退運転)を整備することで、支払い圧力を下げられます。
初期侵入を潰す:IDと脆弱性を最優先で管理
多くの侵害は、認証情報の漏えい・使い回し・MFA未導入・VPNや公開サーバの既知脆弱性といった“基本”から始まります。MFAの必須化(可能ならフィッシング耐性の高い方式)、特権IDの分離、パスワード管理、露出資産(ASM)的な棚卸し、脆弱性の優先順位付け(悪用実績があるものから)を徹底すべきです。
横展開とデータ持ち出しを難しくする
侵入後の攻撃者は権限昇格と横展開で被害を拡大します。ネットワーク分離、管理系端末の分離、最小権限、EDR/監視ログの整備、重要データの暗号化とアクセス監査、DLPの実装などで“内部で儲けにくい環境”を作れます。特にログがなければ検知も封じ込めもできないため、可視化は投資優先度が高い領域です。
インシデント対応を事前に決め、交渉コストを上げる
攻撃者は被害者の混乱を利益に変えます。連絡体制、法務・広報・経営の意思決定フロー、外部専門家(フォレンジック、IR、弁護士、保険)の契約、通報・報告基準、身代金要求への基本方針などを事前に整備すると、攻撃者の交渉余地が狭まります。結果的に攻撃者の「成功確率」が下がり、標的としての魅力が低下します。
経営課題としての結論:サイバー攻撃は“市場”であり、対策は“投資”
サイバー攻撃が儲かるのは、技術の問題だけでなく、収益化の仕組みが整い、被害者側の停止コストが高く、国際的な摘発が難しいという「市場環境」があるからです。防御側は、技術導入の羅列ではなく、攻撃者の利益構造(成功確率、横展開の容易さ、恐喝の効きやすさ、復旧困難性)を一つずつ崩すことが求められます。
守るべき資産を特定し、復旧可能性を担保し、IDと脆弱性を継続的に管理し、検知と対応の運用を回す。これらは地味ですが、攻撃者にとっては最も“儲からない相手”を作る最短ルートです。
参照リンク: