サイバーセキュリティ
賠償金が承認された: サイバー攻撃者に支払った5つの公開会社
組織がランサムウェア攻撃を受けることが増えています。Sophosによると、59%の組織は2024年にそのような攻撃を受けましたが、そのうち70%はデータの暗号化を伴うものでした。
ランサムウェア攻撃の数は増えていますが、支払額も増加しています。2023年のランサムウェア支払いの中央値は20万ドル以下でしたが、IBMのデータによると、約1年で650%増加して150万ドルに達しました。
これらの攻撃は、2031年までに年間275億ドルの全球被害をもたらすと予測されています。そこで、ランサムウェア攻撃とは何でしょうか。
ランサムウェアは、組織のシステムへのアクセスをブロックしたり、データを暗号化するように設計されたマルウェアの一種です。
これを行うために、攻撃者はシステムにウイルスを感染させて、フィッシング電子メールを送信するために使用します。これらの電子メールには、悪意のあるリンクが含まれる場合があります。または、従業員のログイン資格情報を盗んで、企業ネットワークへの未承認アクセスを取得します。
暗号化キーまたはシステムへのアクセスの復元を交換として、サイバー犯罪者は被害者から身代金を要求します。組織は、支払うかどうか難しい状況に置かれます。支払うことは、アクセスを回復するための最も簡単で費用効率の良い方法のように思えるかもしれません。
一部のランサムウェアのバリアントには、データの盗難のような機能が追加されており、さらに身代金を支払う動機を与えます。しかし、高調度のケースでは、身代金を支払うことが実際には最も被害の少ない選択肢となる可能性があります。
顧客を保護するために身代金を支払った会社
サイバー犯罪者の要求に同意し、身代金を支払うことは、サイバー犯罪に対処するための理想的な方法ではありません。なぜなら、データの安全な返還やエンティティの運営の復元を保証しないからです。また、さらにサイバー攻撃を促進するからです。しかし、時には他の選択肢がない場合があります。
それで、今度は、会社が身代金を支払い、そしてそれ以降に何が起こったのかを見てみましょう。
1. CNA Financial Corp (CNA )
米国の最大の保険会社の1つであるCNA Finance Corp.は、2021年3月にランサムウェア攻撃を受けました。システムをロックアウトされた後、2週間で40万ドルの身代金をビットコイン(BTC)で支払い、公開された最大のランサムウェア支払いとなりました。
攻撃は、Phoenixというサイバー犯罪グループによって行われました。最初に、999 BTC(当時の約550万ドル)を要求しましたが、後に1099 BTCに引き上げ、
「時間の浪費。コストは上がった。」
と述べました。
攻撃者は、盗んだデータが重要であると主張し、「漏洩された場合、ひどく打たれる」と述べました。身代金は、盗んだデータの公開をしない、データを返す、盗んだデータのコピーを削除する、すべてを復元することと引き換えに要求されました。
しかし、侵入はどうやって起こったのでしょうか。実は、セキュリティ上の小さなミスがこのような大きな事件につながったのです。攻撃者は、CNAの従業員1人に偽のブラウザ更新プログラムを受け入れるよう説得しました。すると、システムを無効にし、攻撃がすぐには検出されませんでした。
CNAには、侵入が発生したことを2週間後に発見するまで時間がかかりました。その間に、攻撃者は顧客データを盗み、CNAをネットワークからロックアウトしました。
会社は、攻撃が発生してから1週間後に、攻撃が封じ込められ、通常の業務を再開するために作業中であることを説明するアップデートを公開しました。2週間後、復旧プロセスの一環として、エンドポイント検出および監視ツールが展開されたことが明らかになりました。
攻撃から2ヶ月後、CNAは事象レポートを発表し、ターゲットされた攻撃ではなかったと述べました。ランサムウェアを検出した後、会社はシステムをネットワークから切断して、脅威が広がらないようにしました。
その数ヶ月後、保険会社は、調査が終了したと発表し、脅威行為者がランサムウェアを展開する前に情報をコピーしたが、すぐに情報を回復し、「情報が悪用される可能性は低い」と述べました。
シカゴに拠点を置く保険持株会社は、FBIや外国資産管理局(OFAC)など政府機関にも攻撃について相談しました。声明で、「CNAは、この件を扱う際に、OFACの2020年のランサムウェアに関するガイダンスを含むすべての法律、規制、公開ガイダンスに従った」と述べましたが、身代金についてコメントしませんでした。
このガイダンスによると、機関は、米国の人物が禁止されたエンティティに支払いを行った場合、民事罰を課すことができます。
会社の調査により、脅威行為者グループ「Phoenix」が「Phoenix Cryptolocker」ランサムウェアを使用して攻撃を行ったことが判明しました。当時、グループは米国の制裁対象ではありませんでした。
(CNA )
CNAは、130億ドルの時価総額を持つ会社で、株価は48.16ドルで、年初来は0.43%下落していますが、過去2年間で32.27%上昇しています。過去12ヶ月のEPSは3.28、P/Eは14.67、ROEは8.98%です。CNAの株主は、3.82%の配当利回りも享受しています。
最近の四半期の財務状況は、274万ドルの純利益と281万ドルのコア利益を示しています。
2. Caesars Entertainment (CZR )
カジノ・エンターテインメント会社は、サイバー犯罪グループ「Scattered Spider」に1500万ドルを身代金として支払いました。攻撃者は、MGMのコンピューターシステムもダウンさせましたが、MGMは身代金を支払いませんでした。
カジノの場合、SECへの提出資料によると、攻撃者は3000万ドルの身代金を要求しましたが、会社はその半額だけを支払いました。これは、会社のサイバー保険ポリシーによって部分的にカバーされました。会社は、支払いまたはその後の影響が財務成績に大きな影響を与えることを予想していませんでした。
攻撃は2023年8月中旬に発生し、Scattered Spider(別名UNC3944またはRoasted 0ktapus)によって実行されました。このグループは、米国と英国を拠点とする若いハッカーで構成されており、社会工学に優れています。Cloudflare、Twilio、Oktaなどの他の会社への攻撃にも関与しています。
カジノを標的にするために、ハッカーは外部のITベンダーを侵害しました。そのために、攻撃者はカジノの従業員を装い、Oktaへのログイン資格情報を提供するようにベンダーを説得しました。
これにより、サイバー犯罪者はホテルとカジノの巨大企業のネットワークへの未承認アクセスを獲得しました。彼らは、BlackCat/ALPHVランサムウェアを展開する前に、カジノのロイヤルティ会員のデータを盗みました。会社によると、攻撃者は、運転免許証や社会保障番号を含むデータを盗みましたが、PIN、パスワード、銀行口座、または支払いカードのデータへのアクセスはなかったと述べています。
ロイターは、Scattered SpiderハッキンググループがカジノとMGMのシステムから6テラバイトのデータを盗んだと報告しています。
「私たちがデータを削除することを保証することはできません。」
– カジノは提出書類で述べています
会社は、被害にあった顧客の数を公開していませんが、提出書類では約4万2000人をリストしています。当時、ブルームバーグは、カジノがデータを公開するという脅威に応じて身代金を支払ったと報道しました。
9月末までに、会社は通常の業務を回復しました。しかし、その後、カジノは、顧客の個人情報を保護に失敗したとして、多数の集団訴訟を起こされ、財務的および評判の被害を受けました。
(CZR )
60億ドルの時価総額を持つCZRの株価は、現在29.41ドルで、今年は12%下落しています。過去2年間の株価は、2021年の約119ドルから遠のいています。過去12ヶ月のEPSは-1.10、P/Eは-26.80です。
会社の財務状況は、2025年第1四半期に、GAAPの純収入が28億ドル、調整後EBITDAが4%増加して4300万ドルとなったことを示しています。
3. Blackbaud Inc. (BLKB )
2020年、サイバー犯罪者が、非営利団体や教育機関向けのソフトウェアを提供するBlackbaudのサーバーに侵入し、1万3000以上の組織のデータを危険にさらしました。サウスカロライナ州に拠点を置く会社は、顧客の個人データを削除するという約束で、235,000ドルのビットコインをハッカーに支払いました。
サイバー攻撃は2020年2月に発生しましたが、5月まで発見されませんでした。当時、被害を受けた組織は、すでにCOVID-19パンデミックによって引き起こされた混乱に直面していました。
サイバー犯罪者は、Blackbaudのシステムへのアクセスを得るために、会社のサーバーを標的にしました。Blackbaudが侵入に気付いていない間に、攻撃者は暗号化されたデータセットを操作し、サブセットを抽出することができました。
顧客関係管理(CRM)サービスプロバイダーが最終的に侵入を発見したとき、被害を防ぐために措置を講じました。
7月、会社は、ランサムウェア攻撃を受けたことを公に発表しました。教育機関や第三セクターの組織のデータが危険にさらされた可能性があると発表しました。これは、被害を受けたコミュニティに衝撃を与え、機密の寄付者情報のセキュリティに関する懸念を引き起こしました。
会社は、攻撃者が完全にファイルを暗号化したり、システムへのアクセスをブロックしたりするのを防ぐことができましたが、バックアップファイルをすでに削除していました。
Blackbaudは、銀行口座や支払いカードの詳細は影響を受けていないと述べましたが、名前、住所、連絡先情報、社会保障番号、推定財産など、多くの情報が実際にはデータ漏洩に含まれていたと述べています。
会社は、顧客の利益を保護するために、身代金を支払ったことも認めています。
FTCは、事件の原因が「Blackbaudの杜撰なセキュリティとデータ保管慣行」であったと信じ、調査を開始しました。
FTCの苦情によると、会社は最も基本的なセキュリティ慣行を実施せず、Blackbaud自身のデータ保管に関するポリシーに従わず、顧客が重要なデータを暗号化されていないフィールドに保存することを許可しました。機関はまた、会社が事件の範囲と重大性を大幅に軽視したと主張しました。
2024年、FTCとBlackbaudは和解に達しましたが、金銭的罰則は伴わず、会社は不要なデータを削除し、包括的な情報セキュリティプログラムを開発し、将来のデータ漏洩が発生した場合にFTCに通知することが求められました。
BlackbaudのSECとの和解には、300万ドルの罰金が含まれていました。会社は、漏洩について誤解を招く情報を提供したためです。また、50の州の司法長官と4950万ドルの和解に達しました。大学、医療機関などが対象で、HIPAA違反のためでした。
(BLKB )
Blackbaudの市場実績については、株価は現在63.76ドルで、今年は13.74%下落しています。時価総額は30億ドルです。過去12ヶ月のEPSは-5.83、P/Eは-10.94です。
2025年第1四半期には、会社は5.8%の有機収入成長を達成し、2.71億ドルの収入を記録しました。Blackbaudは、特にAIを活用した革新に積極的に投資しています。これにより、社内生産性と顧客運用が強化されます。
4. UnitedHealth Group (UNH )
大手ヘルスケア保険会社であるUnitedHealth Group Incorporatedは、過去1年半で大変な時期を過ごしています。2024年2月に、子会社のChange Healthcareがサイバー攻撃を受けたことが発端でした。
UnitedHealth Groupは、UnitedHealthcareとOptumの2つのセグメントで運営しています。UnitedHealthcareはヘルスケア保険に焦点を当て、OptumはOptum Insight、Optum Health、Optum Rxを通じてテクノロジーサービス、直接ヘルスケアサービス、薬剤ケアサービスを提供しています。
2022年に、UnitedHealth GroupはChange Healthcareプラットフォームを買収し、Optum Insightに統合しました。会社は年間約150億件の医療請求を処理しており、これは全請求の約40%に相当します。したがって、Change Healthcareへの攻撃が米国のヘルスケアシステムに与える影響を想像することができます。
2月に、ランサムウェアがChange Healthcareのシステムを感染させ、システムを使用不能にし、米国のヘルスケアシステムに大きな混乱を引き起こしました。会社が完全に運営を回復するまで、数ヶ月が経過しました。
当時のCEOであるAndrew Wittyは、国会で、攻撃は2月12日に始まったと述べました。攻撃者は、Change HealthcareのCitrixポータルにアクセスするために、侵害された資格情報を使用しました。2要素認証が有効になっていなかったためです。
そこから、攻撃者はデータを収集し始め、数日後にはランサムウェアを展開し、会社のシステムの暗号化を開始しました。対応として、UnitedHealthは、Change Healthcareのデータセンターをネットワークから切断して、ランサムウェア攻撃が会社の他のシステムや外部エンティティに広がらないようにしました。
攻撃者は、BlackCat/ALPHVサイバー犯罪団体でした。データの盗難を主張し、約6テラバイトの機密データを盗んだと主張しました。盗まれたデータには、医療記録、個人情報、財務文書が含まれていました。UnitedHealth Groupは、約1億9000万人の個人に被害が及んだことを公に認めています。
2024年3月、会社は2200万ドルの身代金を支払いましたが、BlackCatランサムウェアグループは、攻撃を実行したアフィリエイトに支払わなかったと報告されています。そのアフィリエイトは、UnitedHealthからさらに金銭を搾取しようとし、別のランサムウェアグループであるRansomHubと協力しました。UnitedHealthが2回目にも支払ったかどうかはまだわかっていません。
事件は、2025年1月にUnitedHealth Groupによって報告され、年間総損失30.9億ドルに達しました。
会社が、ヘルスケア史上最大のサイバー攻撃の余波に対処している間、株価は実際には影響を受けていませんでした。UNHの株価は、2024年11月に625ドルという史上最高値に達し、時価総額は5750億ドルに達しました。
(UNH )
しかし、6ヶ月後には、すべてが崩壊しました。UnitedHealthの株価は、2920億ドルの時価総額で、今年は36.43%下落しています。現在の株価は321.58ドルで、過去最高値から49%下落しています。
サイバー攻撃による予想外の打撃に加えて、会社はリーダーシップの喪失、UnitedHealthcareのCEO Brian Thompsonの死亡、収益の見通しを下回り、メディケア・アドバンテージの慣行に関する司法長官の刑事捜査に直面しています。
会社の収益性と効率性を見ると、過去12ヶ月のEPSは23.89、P/Eは13.46、ROEは24.33%です。配当利回りは2.61%です。2025年第1四半期の収入は1096億ドルで、営業活動によるキャッシュフローは55億ドルでした。
5. AT&T (T )
世界的テレコミュニケーションおよびテクノロジーサービスを提供するリーディングカンパニーであるAT&Tは、2024年に2つの重大なデータ漏洩事件に遭遇しました。
最初のものは3月に発生し、50〜70百万人の現在および過去の顧客のデータが影響を受けました。会社のデータがダークウェブ上で流通しているという報告が、3月中旬に初めて表面化し、AT&Tは数週間後に情報が実際に顧客のものであることを確認しました。
漏洩した情報には、フルネーム、生年月日、電子メール、電話番号、郵便番号、社会保障番号、AT&Tのアカウント番号およびパスコードが含まれていました。会社は、影響を受けた個人に以下のことを伝えました。
「私たちの最善の知識では、個人情報や通話履歴は含まれていませんでした。」
と述べています。
データは、数年前にオンラインで流通していたと信じられていますが、その起源は不明です。AT&Tは、データが自社のシステムから来たことを否定しています。
その後、4月に、会社は、ほぼすべての固定電話、携帯電話、無線ネットワークの顧客のデータが漏洩したという事実を公にしました。
この漏洩は、ShinyHuntersグループの一員であるアメリカ人ハッカーと関連付けられていました。ハッカーは、100万ドルの身代金を要求しましたが、最終的に少額で合意しました。会社は、5月にビットコインで37万ドルの身代金を支払いました。攻撃者は、データを削除したことを証明するビデオを提供しました。
この攻撃では、2023年1月2日および2022年5月1日から2022年10月31日の間の顧客の通話およびテキストのやり取りのレコードが盗まれたと説明しています。このデータは、第三者クラウドプラットフォーム上の会社の「ワークスペース」から発生しました。
内容自体は影響を受けませんでしたが、漏洩したレコードは、影響を受けた顧客がやり取りした他の電話番号を特定することができますと、会社は説明しています。
AT&Tは、約1億1千万人の顧客に事件について通知しました。
現在、2000億ドルの時価総額を持つ会社の株価は、27.78ドルで今年は22%上昇しています。過去12ヶ月のEPSは1.63、P/Eは17.04、ROEは11.28%です。配当利回りは4%です。
(T )
財務状況については、2025年第1四半期の収入は306億ドル、純利益は47億ドル、自由資金流は31億ドルでした。
したがって、ランサムウェア攻撃は、さまざまな業界の会社に被害を与えています。身代金を支払うことで、会社と顧客を保護することができますが、常にそうであるとは限りません。実際には、犯罪行為を促進するリスクがあります。さらに、会社に財務的および評判の被害をもたらす可能性があります。
会社が行うべきことは、侵入が発生するのを防ぐために、積極的なセキュリティ対策を講じることです。これには、定期的なセキュリティ評価の実施、潜在的な脅威の継続的な監視、システムの更新、データのバックアップと保護、ロブストなデータ暗号化の実装、適切な従業員トレーニングの提供、効果的なインシデント対応の準備が含まれます。
最終的に、ランサムウェアに対する真正の防御は交渉ではなく、準備です。したがって、今日からサイバーセキュリティの回復力に投資することが重要です。
