サイバーセキュリティ

ランサム承認:サイバー攻撃者に支払った5つの上場企業

mm
Securities.io maintains rigorous editorial standards and may receive compensation from reviewed links. We are not a registered investment adviser and this is not investment advice. Please view our affiliate disclosure.

ランサムウェア攻撃を受ける組織の数は増加しています。Sophosによると、59%の組織が2024年に攻撃を受け、そのうち大多数(70%)がデータ暗号化につながりました。

ランサムウェア攻撃の件数だけでなく、支払額も上昇しています。2023年の中央値は20万ドル未満でしたが、約1年で650%増加し、$1.5 millionに達しました(IBMデータ)。

これらの攻撃は、2031年までに年間で$275 billionの世界的被害額になると予測されています。では、ランサムウェア攻撃とは何でしょうか?

ランサムウェアはマルウェアの一種で、組織のシステムへのアクセスを遮断したりデータを暗号化したりする悪意あるソフトウェアです。

このために、攻撃者はシステムにウイルスを感染させ、悪意あるリンクを含むフィッシングメールを送信したり、従業員のログイン情報を盗んだりして、企業ネットワークへの不正アクセスを取得します。

復号鍵やシステムへのアクセス復旧と引き換えに、サイバー犯罪者は被害者に身代金を要求します。組織は、身代金を支払うことが最も簡単で費用対効果の高い方法に思えるという難しい状況に追い込まれます。

一部のランサムウェア変種はデータ窃盗などの機能を追加しており、身代金支払いのインセンティブがさらに増えます。しかし、いくつかの注目すべきケースでは、リスクがあるものの、身代金を支払うことが実際には最も被害を抑える選択肢となることがあります。

顧客を保護するために身代金を支払った企業

データ窃盗

攻撃者の要求に応じて身代金を支払うことは、盗まれたデータの安全な返還や事業の復旧が保証されないだけでなく、さらなるサイバー攻撃を助長するため、理想的な対処法ではありませんが、時には事業と顧客を保護する以外の選択肢がありません。

それでは、企業が身代金を支払い、その後に起こった出来事が最も注目されたサイバー犯罪事例を見てみましょう。

1. CNA Financial Corp (CNA )

米国最大手の保険会社の一つであるCNA Financial Corp.は、2021年3月にランサムウェア攻撃の被害に遭いました。システムから2週間ロックされた後、過去最大額とされるBitcoin (BTC)で4000万ドルの身代金を支払い、制御権を取り戻しました。

この攻撃は「Phoenix」というサイバー犯罪グループによるもので、当初は999 BTC(当時約5500万ドル)を要求し、後に1099 BTCに引き上げました。その際の声明は:

“時間の無駄だ。コストが上がった。”

攻撃者は、保有するデータは重要であり「漏洩すれば大きな打撃になる」と主張しました。身代金は、盗難を公にしないこと、データの返却、盗まれたデータのコピー削除、そしてすべての復旧と引き換えに要求されました。

では、具体的にどのように侵害が起きたのでしょうか?それは小さなセキュリティの抜けが原因で、重大なインシデントにつながりました。攻撃者はCNAの従業員一人を騙し、偽のブラウザ更新を受け入れさせました。その後すぐにシステムを無効化し、攻撃は直ちに検知されませんでした。

CNAはハッキングされたことに気付くまでに数週間かかりました。その間に攻撃者は顧客データを盗み、CNAをネットワークからロックアウトしました。

同社は攻撃発生から1週間後まで情報を提供せず、その後、攻撃が封じ込められ、通常業務の再開に向けて作業中であると説明する更新を公開しました。さらに2週間後、復旧プロセスの一環としてエンドポイント検知・監視ツールが導入されたことが明らかになりました。

攻撃から2か月後、CNAはインシデントレポートを公開し、標的型攻撃ではないことを指摘しました。また、ランサムウェアを検知した際に、脅威の拡散を防ぐためにシステムをネットワークから切断しました。

その数か月後、保険会社は調査が完了したことを発表し、脅威アクターがランサムウェアを展開する前に情報をコピーしたものの、迅速に情報を回収し「情報が不正に使用された、または使用される恐れはない」と述べました。

シカゴ拠点の保険持株会社は、FBIや外国資産管理局(OFAC)など政府機関にもこの攻撃について相談しました。声明で「CNAは本件の処理において、OFACの2020年ランサムウェアガイダンスを含むすべての法律、規制、公開された指針に従った」と述べましたが、身代金についてはコメントしませんでした。

この指針によれば、禁止された組織への支払いを行った米国人に対して民事罰金が課される可能性があります。

調査により、Phoenixという脅威グループがPhoenix Cryptolockerランサムウェアを使用してネットワークを攻撃したことが判明しました。当時、このグループは米国の制裁対象ではありませんでした。

(CNA )

CNAは時価総額130億ドルの企業で、執筆時点の株価は48.16ドルで、年初来(YTD)で0.43%下落していますが、過去2年間で32.27%上昇しています。EPS(TTM)は3.28、P/E(TTM)は14.67、ROE(TTM)は8.98%です。CNAの株主は3.82%の配当利回りも享受しています。

直近四半期の財務では、純利益が2億7400万ドル、コア収益が2億8100万ドルとなっています。

2. Caesars Entertainment (CZR )

このカジノ・エンターテイメント企業は、Scattered Spiderというサイバー犯罪グループに1500万ドルの身代金を支払いました。この脅威アクターは、Caesars Entertainmentからの支払いを受け取った数日後にMGMのコンピュータシステムもダウンさせました。攻撃者はMGMにも身代金を要求しましたが、支払われませんでした。

Caesarsの場合、米国証券取引委員会(SEC)への提出書類によると、攻撃者は3000万ドルの身代金を要求しましたが、同社はその半額のみ支払うことで合意し、サイバー保険で一部カバーされました。支払いやその影響が業績に重大な影響を与えるとは予想していませんでした。

この攻撃は2023年8月中旬に発生し、Scattered Spider(UNC3944またはRoasted 0ktapusとしても知られる)によって実行されました。米国と英国を拠点とする若手ハッカーで構成され、ソーシャルエンジニアリングに長けており、Cloudflare、Twilio、Oktaなど他社への攻撃にも関与しています。

Caesarsを標的にするため、ハッカーはまず外部のITベンダーに侵入しました。その際、攻撃者はCaesarsの従業員になりすまし、ベンダーにOkta(Caesarsのアクセス管理プロバイダー)のログイン情報を提供させました。

これによりサイバー犯罪者はホテル・カジノ大手のネットワークに不正アクセスし、Caesarsのロイヤリティ会員のデータ(運転免許証や社会保障番号を含む)を盗み、BlackCat/ALPHVランサムウェアを展開しました。同社は、攻撃者がPIN、パスワード、銀行口座、クレジットカード情報にアクセスした証拠はないと述べました。

一方、ReutersはScattered Spiderハッキンググループが述べた、CaesarsとMGMのシステムから6テラバイトのデータを取得したと報じました。

“不正な行為者によって盗まれたデータが削除されるよう対策を講じましたが、結果を保証することはできません。”

– Caesarsは提出書類で述べました

同社は影響を受けた顧客数を公表しませんでしたが、提出書類には約42,000人が影響を受けたと記載されています。当時、Bloombergは脅威グループがハッキングしデータ公開を脅した後、Caesarsが身代金を支払ったと報じました。

9月下旬までに同社は通常業務を復旧しましたが、その後、財務的・評判的な損害に加え、ゲストの個人データ保護に失敗したとして過失と不当利得を訴える複数の集団訴訟に直面しました。

(CZR )

時価総額約60億ドルのCZR株は現在29.41ドルで取引されており、今年は12%下落しています。株価は2021年の約119ドルのピークからも大きく離れています。EPS(TTM)は-1.10、P/E(TTM)は-26.80です。

同社の財務では、2025年第1四半期のGAAP純収益は28億ドルで、デジタル部門の大幅な伸びにより調整後EBITDAは前年比4%増の4300万ドルとなりました。

3. Blackbaud Inc. (BLKB )

2020年、非営利団体や教育機関向けソフトウェアを提供するBlackbaudのサーバーがサイバー犯罪者に侵入され、13,000以上の組織のデータが危殆化しました。サウスカロライナ州拠点の同社は、個人顧客データの削除を約束し、ハッカーにビットコインで23.5万ドルの身代金を支払いました。

同年2月にサイバー攻撃が発生しましたが、発覚したのは数か月後の5月でした。当時、影響を受けた組織はすでにCOVID-19パンデミックによる混乱に対処していました。

サイバー犯罪者はBlackbaudのサーバーを標的にし、システムへのアクセスを取得しました。Blackbaudが侵害に気付かなかったため、攻撃者は数か月間検知されずに活動し、データセットを暗号化し一部を外部に持ち出しました。

顧客関係管理(CRM)サービスプロバイダーが最終的に侵害を発見した際、Blackbaudが定期的なセキュリティチェックを行っていた最中であり、さらなる被害を防止する対策を実施しました。

7月に同社はランサムウェア攻撃を受けたことを公表しました。Blackbaudは、教育機関や第三セクター組織のデータが危殆化した可能性があると発表し、影響を受けたコミュニティに衝撃を与え、寄付者の機密情報の安全性への懸念が高まりました。

同社は犯罪者がファイルを完全に暗号化しシステムアクセスを遮断するのを防ぎましたが、すでに個人情報を含むバックアップファイルは削除されていました。

Blackbaudは銀行口座やクレジットカード情報は影響を受けていないと保証しましたが、名前、住所、連絡先、社会保障番号、推定資産額など多くの情報が実際にデータ侵害に含まれていました。

同社はデータ回復と顧客の利益保護のために身代金を支払ったことも認めました。

攻撃後、連邦取引委員会(FTC)は調査を開始し、原因は「Blackbaudの不十分なセキュリティとデータ保持慣行」だと考えました。

FTCの訴状によれば、同社は最も基本的なセキュリティ対策を実施せず、データ保持に関する自社ポリシーにも従わず、顧客が銀行口座などの重要データを暗号化されていないフィールドに保存できるようにしていました。また、FTCはBlackbaudがインシデントの規模と深刻さを大幅に過小評価したと主張しています。

2024年、FTCとBlackbaudは和解に至り、金銭的罰則は課さず、不要となったデータの削除、包括的な情報セキュリティプログラムの策定、将来のデータ侵害が発生した場合のFTCへの通知を求めました。

しかし、SECとの和解では、侵害に関する誤解を招く情報提供に対し300万ドルの罰金が科されました。同社はまた、HIPAA違反に関して50州の検事総長と$49.5 millionの和解に至りました。

(BLKB )

Blackbaudの市場パフォーマンスについて、現在の株価は63.76ドルで、年初来13.74%下落し、時価総額は30億ドルです。EPS(TTM)は-5.83、P/E(TTM)は-10.94です。

2025年第1四半期に同社は5.8%の有機的収益成長を達成し、2億7100万ドルの収益を記録しました。Blackbaudはまた、内部生産性と顧客業務を向上させるため、特にAI分野へのイノベーション投資に注力しています。

4. UnitedHealth Group (UNH )

ヘルス保険大手のUnitedHealth Group Incorporatedは、過去1年半にわたり厳しい状況に直面しています。すべては2024年2月、子会社のChange Healthcareがサイバー攻撃を受けたことから始まりました。

UnitedHealth Groupは、健康保険に特化したUnitedHealthcareと、Optum Insight、Optum Health、Optum Rxを通じて技術サービス、直接医療サービス、薬局ケアサービスを提供するOptumの2つのセグメントで事業を展開しています。

2022年にUnitedHealth GroupはChange Healthcareプラットフォームを取得し、Optum Insightに統合しました。同社は年間最大150億件の医療請求を処理しており、全請求の約40%に相当するため、Change Healthcareへの攻撃がもたらす混乱は想像に難くありません。

2月にランサムウェアがChange Healthcareのシステムに感染し、アクセス不能となり米国医療システムに大混乱をもたらしました。完全に業務を再開できたのは数か月後の11月になってからです。

何が起きたかについて、当時のCEOであるAndrew Wittyは議会に対し、攻撃は2月12日に始まったと述べました。攻撃者は侵害された認証情報を使ってChange HealthcareのCitrixポータルにアクセスしましたが、このポータルはリモートデスクトップ接続に使用され、2要素認証が有効になっていませんでした。この小さなミスがUNHに数十億ドルの損失をもたらしました。

そこから攻撃者はデータ収集を開始し、数日後にランサムウェアを展開して会社のシステムを暗号化しました。これに対し、UnitedHealthはChange Healthcareのデータセンターをネットワークから切断し、ランサムウェアが他のシステムや外部組織に拡散するのを防ぎました。

攻撃者側はBlackCat/ALPHVサイバー犯罪組織が責任を認め、6TBの機密データを外部に持ち出したと主張しています。盗まれたデータには医療記録、個人情報、財務書類が含まれます。UnitedHealth Groupは、約1億9千万人がこの侵害の影響を受けたと公表しました。

2024年3月、同社は2200万ドルの身代金を支払いましたが、BlackCatランサムウェアグループは攻撃を実行した提携先に支払わなかったと報じられており、その後別のランサムウェアグループRansomHubと協力してUnitedHealthからさらに金銭を要求しました。UnitedHealthが二度目の支払いを行ったかどうかはまだ不明です。

UnitedHealth Groupが2025年1月に報告したところによると、このインシデントにより年間総損失は30億9000万ドルに上りました。

同社は医療史上最大のサイバー攻撃の余波に対処し続けていますが、UNH株は2024年11月に1株625ドルという史上最高値と5750億ドルの時価総額を記録し、株価は大きな打撃を受けていませんでした。

(UNH )

しかし、6か月後には状況が急落しました。時価総額2920億ドルのUnitedHealthの株価は年初来で36.43%下落し、現在は321.58ドルで取引されており、史上最高値から49%下落しています。

サイバー攻撃による予想以上の打撃に加え、同社はリーダーシップの喪失にも直面しています。UnitedHealthcareのCEOであるBrian Thompsonがニューヨーク市での投資家デーで死亡し、決算が未達成、さらに司法省がUHGのMedicare Advantage慣行に対する刑事捜査を進めています。

同社の収益性と効率性を見ると、EPS(TTM)は23.89、P/E(TTM)は13.46、ROE(TTM)は24.33%で、配当利回りは2.61%です。2025年第1四半期の売上高は1096億ドルに増加し、営業キャッシュフローは55億ドルでした。

5. AT&T (T )

世界的な通信・テクノロジーサービスのリーディングプロバイダーであるAT&Tは、2024年に2件の大規模データ侵害を受けました。

最初の侵害は3月に発生し、現在および過去の顧客5,000万から7,000万人が影響を受けました。ダークウェブ上で同社のデータが流通しているとの報告が3月中旬に出され、AT&Tは数週間かけてその情報が実際に顧客のものであることを確認しました。

漏洩した情報には、顧客の氏名、生年月日、メールアドレス、電話番号、郵送先住所、社会保障番号、AT&Tのアカウント番号とパスコードが含まれていました。同社は影響を受けた個人に対し次のように述べました:

“当社の知る限り、個人の財務情報や通話履歴は含まれていません。” 

このデータは数年間オンラインで流通していると考えられていますが、出所は不明であり、AT&Tは自社システムから流出したことを否定しています。

続いて4月に、ほぼすべての固定電話、携帯電話、無線ネットワーク顧客が影響を受ける侵害に遭い、数か月後の7月にAT&Tは公にこの侵害を開示しました。

この侵害は、ShinyHuntersグループの米国人ハッカーが関与しており、100万ドルの身代金を要求しましたが、はるかに少額で合意しました。同社は5月にビットコインで37万ドルの身代金を支払い、データ漏洩を防止しました。攻撃者はデータ削除の証拠映像を提供しました。

この攻撃では、2023年1月2日および2022年5月1日から10月31日までの顧客の通話・テキストやり取りの記録が外部に持ち出されました。今回のデータは、同社のサードパーティクラウドプラットフォーム上の「workspace」から取得されたものです。

内容自体は影響を受けていませんが、侵害された記録から影響を受けた顧客がやり取りした他の電話番号が特定できる可能性があると同社は説明しました。AT&Tは約1億1千万人の顧客にこのインシデントを通知しました。

執筆時点で、時価総額2000億ドルの同社株は27.78ドルで取引されており、年初来で22%上昇しています。EPS(TTM)は1.63、P/E(TTM)は17.04、ROE(TTM)は11.28%です。配当利回りは魅力的な4%です。

(T )

財務面では、2025年第1四半期の売上高は306億ドル、純利益は47億ドル、フリーキャッシュフローは31億ドルでした。

ご覧のとおり、ランサムウェア攻撃は業種を問わず企業に影響を与えています。身代金を支払うことで企業と顧客を保護できる場合もありますが、必ずしもそうとは限りません。むしろ犯罪行為を助長するリスクがあり、財務的・評判的な損害も大きくなります。

企業が取るべきは、まず侵害を防ぐための予防的なセキュリティ対策です。具体的には、定期的なセキュリティ評価の実施、潜在的脅威の継続的監視、システムの更新、データのバックアップと保護、堅牢なデータ暗号化の導入、適切な従業員教育、そして効果的なインシデント対応体制の維持が含まれます。

結局、ランサムウェアに対する防御は交渉ではなく準備ですので、今日からサイバーセキュリティのレジリエンスに投資すべきです!

トップサイバーセキュリティ株のリストはこちらをご覧ください。

ガウラブは2017年に暗号通貨取引を開始し、以来暗号通貨スペースに恋に落ちました。彼のすべての暗号通貨への興味は、暗号通貨とブロックチェーンを専門とするライターに変貌しました。すぐに彼は暗号通貨会社やメディア・アウトレットと一緒に仕事をすることになりました。また、彼は大きなバットマンのファンです。