一体このような被害額をどうやってリサーチするのでしょうか。

例えば、マッキンゼーの面接ではフェルミ推定を使った問題を解かせるそうです。
このフェルミ推定ですが「富士山を10m動かすには何日掛かりますか?」といった実際に調査することが難しいような捉えどころのない量を、いくつかの手掛かりを元に論理的に推論し、短時間で概算します。

手掛かりとしてはランサムウェアの要求金額は公開されている事に着目してみます。例えば11月2日未明にカプコンは1100万ドル(約11億6000万円)の支払いをビットコインで犯行グループから要求されました。こうした情報はOSINTで収集できます。

さて、残るは身代金を払ったかどうかが分かれば、ランサムウェアの被害金額が割り出せそうです。

そこでアンケートの標本数がある程度大きければ、全体の被害総額の推定量として使えます。つまりインターネットを使った匿名のアンケート調査で「過去1年以内にランサムウエアによる攻撃を受けて、身代金を払ったか?」という設問でも推定できそうです。もしくは身代金を払ったことが推測できるようにアンケートを設計することも可能です。例えば「もしランサムウェアによる攻撃を受けた場合、会社が損害を被るとしたら身代金を払いますか?」など。

大まかな計算方法ですが、56%が「過去1年以内にランサムウエアによる攻撃を受けて、身代金を払った」とアンケートに回答した場合。過去一年以内に日本で公開された「ランサムウェアの要求金額」× 56% = 日本企業の支払額 と想定できます。

更に精度を高めたいならば、企業のプロファイリングを行い犯行グループからの要求金額との相関を求めます。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ