攻撃側の「初期投資」はコンビニ弁当数十食分 #
米セキュリティ企業 Halcyon が 5 月 26 日に公表した「2026 年ランサムウェア脅威レポート」は、攻撃者が一連の侵入に要する原価をおおむね 6.6 万円と試算した。内訳は、Initial Access Broker (IAB) から購入する企業ネットワークへの足掛かりが約 6,600 円、Ransomware-as-a-Service の月額利用料が約 3,000 円、日本語フィッシングキット「CoGUI」が 1 キャンペーンあたり約 7,200 円。CoGUI は実際に日本企業を狙って 100 万通超のメールをばら撒いた実績が確認されている。
一方、被害側が支払う復旧コストの中央値は約 2.3 億円、復旧日数は 74〜77 日、最悪ケースでは 1 年に及ぶ。攻撃側と防御側のコスト差は実に 約 3,500 倍。これでは攻撃が止まる理由がない。
製造業 28%・医療・電力にも食い込む #
2026 年第 1 四半期 (1〜3 月) の被害分布は、製造業 28%、金融・保険 12%、医療 7%、電力・ガス 7%。サプライチェーンの上流・下流とライフラインが揃って上位に並ぶ。Halcyon は累計被害額が 2,450 億円規模に達した事例も観測しており、「持続可能なビジネス」と呼ぶに足る数字だ。
「払う側」の経済合理性を崩す設計を #
3,500 倍の非対称は、パッチ管理や EDR をいくら積み増しても直接は埋まらない。攻撃のコストカーブを上げるか、被害のコストカーブを下げるかしかない。具体的には、サイバー保険の身代金カバー縮小と未対策テナントへの引受拒否、IAB が販売する初期侵入経路 — 露出した RDP/VPN、漏洩済み資格情報、未パッチのエッジ機器 — の継続スキャン、CoGUI 級の量産フィッシングを通さない耐性 MFA、そしてイミュータブルバックアップと隔離復旧の演習。
攻撃を止めるのは新しい技術というより、攻撃側の収支を悪化させる側に防御側が回ることだろう。「払う方が安い」という計算式を崩さない限り、6 万円で着手できるビジネスは終わらない。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。