© Funtap / stock.adobe.com

2020年のアジア太平洋地域のサイバーインシデントが今年のサイバー保険市場に大きな影響を与える

English version
新型コロナの大流行を乗り越えるため、2020年はアジア太平洋地域全域のCISO(最高情報セキュリティ責任者)にとって非常に忙しい年となりました。各組織は、BCM(事業継続管理)プロセスを駆使して運用継続性を管理すると同時に、セキュリティインシデントのない安全な環境を構築するためにネットワークセキュリティの強化に取り組むことを迫られました。このような努力にもかかわらず、攻撃者はさまざまな手法でネットワークに侵入することに成功しました。昨年の特殊な状況を利用して、サイバー攻撃の件数が増加し、ハッカーは新しい侵入方法を見つけ、影響力の強いインシデントが多発しました。

アジア太平洋地域の主な脅威

ランサムウェア攻撃やデータ侵害は、派生的な脅威ではあるものの、年間を通じて引き続きよく起こる脅威であり、全体的なインシデントの増加に関連しています。マイクロソフトの調査によると、アジア太平洋地域は、ランサムウェア攻撃の発生率*が世界の他の地域と比較して1.7倍も高くなっています。2020年に報告されたランサムウェアの総発生件数の7%をこの地域が占めており、成功した攻撃の50%以上のうらには、最も多いランサムウェアであるMazeとRevilがありました。

アジア太平洋地域におけるランサムウェア攻撃の発達が世界レベルでも見られるのは驚くことではありません。下の図は、2021年までのランサムウェア事故の増加による金銭的損失の増加傾向を示しています。アジア太平洋地域は世界の他の地域と比較して高い発生率となっており、この地域が世界的な傾向をさらに後押しすることが明らかになると予想されています。

*マルウェアとの遭遇を報告したMicrosoftリアルタイムセキュリティ製品を実行しているコンピューターの割合として定義されます
Ransomware Losses 2021
© Munich Re

ランサムウェアの動向と発展

2020年世界的なトレンドに一致して、アジア太平洋地域内のランサムウェア攻撃の多くは製造業に目標しており、次いで政府、教育、テクノロジー、医療の各分野が対象となりました。ランサムウェアインシデントの傾向は、主に次の形で見られました。

  • ビッグゲーム・ハンティング(BGH): 大企業が管理する事業を対象とする
  • 「リーク&シェイム」戦術: 身代金を支払わない場合、ランサムウェアの被害者の秘密情報を公開することで公に恥をかかされるというプレッシャーを加える
  •  サービスとしてのランサムウェア (RaaS): ハッカーが自分で攻撃を実行するための技術的な専門知識を持っていない可能性のある仲間にランサムウェア攻撃用コードを販売またはリースする

上記のランサムウェア発展の結果として、2020年にアジア太平洋地域および世界で起こったいくつかの重要な結果を以下に示します。

  • セキュリティベンダーであるCovewareは、第2四半期に身代金の平均支払い額が約178,000米ドルであると推定。これは第1四半期より60%高かった。
  •  平均ダウンタイムコストは合計283,000米ドルで、2019年と比べてほぼ100%増加。
  • 第2四半期における中小企業へのランサムウェア攻撃の増加:被害を受けた55%が従業員100人未満の企業、75%が収益5,000万米ドル未満の企業
  • ソフォスのレポートによると、すべてのランサムウェア攻撃のうち73%が被害者のデータを暗号化することができた。

ランサムウェアの攻撃は、今もなお各経済圏にかなり深刻な悪影響を与えています。インドと日本をアジア太平洋地域のバロメーターとし、地域全体の指標として観察された主要な動向とハイライトを以下に示します。

インド:

  • インドは、地域内の他国と比較して、2020年にランサムウェア攻撃の影響を最も受け、その結果、損害請求の頻度と重大度が高くなりました。
  • 地元メディアや情報プラットフォームによる最近の調査によると1 、インドでは74%の組織がランサムウェア攻撃を受けており、そのうち3分の1以上がデータやシステムアクセスを復旧させるために100万ドルから250万ドルの身代金をハッカーに支払っています。
  • ハイビジネスインタラプション(HBI)とデータ漏洩の損失は、主に大企業と中堅企業のセグメントに集中し、被害を受けた企業にはLupin、Interglobe、Dr Reddy、Haldiram、The Press Trust of Indiaなどがありました。

日本:

  • ランサムウェアは、この地域の組織にとって最大の脅威であると認識されています。IPA最新のレポートによると、ランサムウェアの脅威は2020年の5位から2021年には1位に急上昇しています。
  • セキュリティプロバイダーのレポートによると、日本はランサムウェア攻撃の阻止に成功率が低く、攻撃の結果かなり多くのデータがランサムウェアに暗号化されています。これは、米国、ドイツと比較して防御対策が低く、攻撃の成功率が高いことをそのレポートが示唆しています。
  • 大企業と中堅企業が主に標的にされ、ホンダ、キヤノン、NTTドコモ、カプコンなどのケースでは、HBI損失と複数のデータ漏洩が発生しました。

2021年サイバー保険市場の予想

昨年のサイバー脅威の状況は、保険業界のビジネスのあり方にも影響が出ています。損害率の悪化やダイナミックなエクスポージャーに照らし合わせて、グローバルな(再)保険会社は、長期的に持続可能な市場環境を再構築するための措置を講じています。さまざまな国際大手サイバー保険会社が、リスクと引受のアプローチに部分的に抜本的な改良を加えています。世界市場はハード化しており、2021年の最初の数ヶ月間に、アジア全域、特により成熟した市場で、すでにこのハード化が進んでいるのが見られます。

今後のアジア太平洋市場におけるサイバー保険への主な影響:

  • 市場のハード化: 市場状況のハード化が2020年後半に世界レベルで観測されました。2021年はこの動きに追いつく可能性が高く、アジア太平洋地域もこの世界的なトレンドに追随すると予想されます。
  • 契約条件: サイバー商品は、新規事業が生まれた場所という視点ではソフトな市場で始まりました。サイバー保険の契約条件の拡大により、市場がますますソフト化されました。この動向は良い意味で中断されました。引き受け条件の厳格化や、厳しい条件をなくすことなく除外を増やす動向が見られるようになっています。  現在では、持続可能性を維持するために、市場標準として重要インフラ免責を条件にする傾向があります。インドや他国の規制当局がこの動きを良いことと見なしていることが幸いであります。
  • 料率の上昇: ソフトな市場状況だったのため、過去5年近くにわたり料率は下がってきました。しかし、引受能力の低下、合理的なデプロイ、慎重な契約査定により、現在大幅な料率の上昇が見られます。
  • 引き受けとリスク評価: 2021年に重要となるのは、ランサムウェア事件に重点を置いて、全般的に契約査定方法を再確立することです。なぜならランサムウェア事故はいくつかの保障項目を誘因する可能性があるからです。ランサムウェアの損害請求がランサムウェアにおけるサブリミットや、犯罪保障の導入につながる可能性があります。
  • 損害請求:2020年は上記の脅威による請求が増えました。この時点で最も重要なのは、リスク情報に基づいた引受プロセスを実現するために、契約査定部門、保険金請求部門、外部サービスプロバイダーが緊密に連携して作業することです。
  • 成長:主に医療、専門サービス、小売、製造、教育機関を含む政府機関、および金融サービス業から損害を受けるため、これが需要の原動力となるでしょう。中小企業もこういった損害によって大きいな打撃を受けるでしょう。
  • サイレントサイバー:サイバー市場は、サイレントサイバーをアファーマティブなものに戻そうと試みています。サイレントサイバーを除外する損害・災害保険契約に沿って、これが成長を促進する可能性があります。
  • 保障範囲: サイバー戦争とサイバーテロに対処する方法が重要です。サイバーテロ対処の傾向ではサイバー保険契約から消え、戦争は除外されるでしょう。サイバープールソリューションをめぐる議論が生じる可能性があります。

Munich Reは、グローバルなサイバー保険のプレーヤーとして、急速に成長しているサイバー市場内のリスクを適切に評価することに専念しています。上記のようなリスクの進化と状況の変化は、これらの危険性を適切に評価し、リスクに見合った価格設定を提供するために、業界、市場、地域を超えて協力し合う卓越したサイバー専門家が必要であることのさらなる証明であると考えています。これはアジア、特にインドと日本の動向を見ても同じことが言えます。この透明性は、サイバー保険業界全体で持続的かつ収益性の高い成長を達成するための鍵となります。  


出典リスト:
https://securitybrief.eu/story/more-than-80-of-apac-organisations-suffered-a-cyber-attack-in-2020-study
https://www.cybersecasia.net/news/more-cyberattacks-in-apac-than-globally-in-h1-2020-but
https://www.csa.gov.sg/singcert/publications/global-local-ransomware-trends-2020-q1-q3
https://inc42.com/buzz/indian-companies-paid-upto-2-5-mn-to-get-back-data-from-hackers
https://www.sophos.com/en-us/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf
Munich Re専門家
Harprit Singh Narang
アジア地域サイバーリスクスペシャリスト
メール
hsinghnarang@munichre.com
ブイカード
ダウンロード

あなたに興味があるかもしれない