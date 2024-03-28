サイバー保険の仕組みにおける大きな変化は、製薬大手Merck社への攻撃から始まりました。それとも別の場所から始まったのでしょうか？
2017年6月に発生したNotPetyaのインシデントは、約40,000台のMerckコンピューターを攻撃し、データを破壊し、数カ月にわたる復旧プロセスが必要となりました。この攻撃は、MondelēzやMaerskなど、何千社もの多国籍企業に影響を与えました。合計すると、このマルウェアはおよそ 100 億ドルの損害を引き起こしました。
NotPetya マルウェアは、NSA から漏洩したデジタルスケルトンキーである EternalBlue と、Windows マシンからユーザーのパスワードを収集するエクスプロイトである Mimikatz という 2 つの Windows の脆弱性を悪用しました。
このマルウェアは、ユーザーの操作なしで感染し、ネットワーク内を動き回って非常に速く拡散するように設計されており、1分以内にネットワークをダウンさせることもありました。実行されると、マスター・ブート・レコードが上書きされ、起動できなくなります。
身代金メッセージは復号化のための支払いを要求していました。しかし、それを実現する仕組みや計画はありませんでした。その目的は、被害者にランサムウェアの攻撃を受けたと信じ込ませることでした。実際、NotPetyaはデータを破壊するためだけに存在し、復旧への道筋はありませんでした。
Merckはこの攻撃の損失を14億米ドルと見積もりました。これらの費用には、生産能力の一時的な損失のほか、復旧に必要な設備費とITの新規雇用費用が含まれていました。
同社は、Ace Americanと17億5000万米ドルの「オールリスク」保険を契約していました。しかし、同社は、NotPetyaがロシア・ウクライナ戦争で始まったため、「戦争行為」除外条項により、支払いが不要になったとして、請求を拒否しました。
Merckは2019年11月にエース・アメリカン社を提訴しました。彼らの主張は主に、攻撃が公式な国家行動の結果ではなく、Merckは紛争の外の単なる傍観者に過ぎないという主張に集中していました。ニュージャージー州上級裁判所のThomas J. Walsh判事は、Merckに有利な判決を下しました。
Ace Americanは控訴し、この訴訟の州控訴裁判所は、保険契約における戦争除外条項の規定（政府による敵対的または好戦的な行動によって生じた損失の補償を除く）は、この訴訟には適用されないと認定しました。
両者は2024年1月5日に保険会社と秘密裏に和解に達しました。
他の大手企業も同様の法的問題に直面し、おそらく金額は少額ではあるものの和解しました。
この訴訟の結果は、完全に予測可能でもなければ、必ずしも直感的に理解できるものでもありませんでした。NotPetya自体が戦争の中で始まったと広く信じられています。これはロシア政府（具体的にはロシア軍情報機関内のSandwormハッキンググループ）に帰属し、ウクライナで開始されたものであり、その目的は、同紛争におけるロシアの目標を推進するためと推測されています。
おそらくサイバー戦争行為であったと思われますが、その後、攻撃はウクライナ国外の世界中のマシンに広がり、巻き添え被害とも言えるものを引き起こしました。
サイバー保険契約には通常、戦争除外条項が含まれています。たとえば、Lloyd's Market Association（LMA）は、サイバー戦争除外条項に関するガイダンスを発表しました。彼らは、特定の状況下において、実際の熱戦状態外で国家主体が実施するサイバー作戦には除外規定が適用されないと勧告しています。たとえば、サイバー攻撃が紛争地域外で発生した場合や、企業が本来の標的ではなかった場合などです。
裁判所の判決はLloydの指針と一致しており、戦争除外条項はNotPetya攻撃の状況には適用されないと判断されました。
それでも、この判決は重要な意味を持っていました。最も巧妙で被害の大きいサイバー攻撃の一部は、国家がライバルや敵を攻撃するための行動の結果として発生するものです。保険会社が、こうした損害の大きいサイバー攻撃に対して標準的な戦争除外条項を使用できない場合、今後は保険契約の調整、保険料の引き上げ、あるいはその両方が必要になるでしょう。
サイバー保険のランドスケープは少なくとも10年以上にわたり変化してきました。サイバー攻撃の高額化により、保険顧客は保険料の上昇、厳しい引受要件、そして補償範囲の縮小に直面しています。
これらの変化は、数年前からのランサムウェアの動向を含む、サイバー攻撃の動向における様々な変化によって生じたものです。
Swiss Re Instituteによると、世界のサイバー保険料は2018年の50億米ドル未満から、今年は推定180億米ドルに上昇しています。
企業は、保護を得るためにもますます厳しいガイドラインの下でサイバーセキュリティ体制を整えることが求められています。保険会社は、保険の対象者を承認するのにかかる時間が長くなっており、保険の対象を厳選するようになっています。
特定の状況下で補償を無効にする除外事項が増えたことで、適用範囲が縮小されています（「戦争除外」はその代表例でした）。
Merckの和解は、サイバー保険契約における戦争除外の定義の課題に対する業界の注目を集めました。保険会社は、特に戦争除外条項に関して、文言をさらに厳格化する可能性が高く、この傾向は2022年にすでに始まっていました。
そして、保険の購入者の間でも注目を集めています。企業は、保険会社を検討する際に、除外事項、待機期間、保険限度額などの要素を慎重に検討する必要があります。もう一つの重要な要素は、企業が地政学的出来事の結果として被害を受けたり、標的にされたりする可能性があるかどうかを推定し、国家が支援する深刻なサイバー攻撃が発生した場合に、除外によって支払いを受けられない可能性があるかどうかを検討することです。
そして何よりも、 実際のサイバーセキュリティー、特にオートメーションやAIに注力してください。
Merckおよび関連する訴訟や和解は、サイバーセキュリティー保険の費用、ポリシー、除外事項、限度額の変更に大きく寄与したと思われますが、より大きな要因は、サイバー攻撃全般の高度化とコストの増大です。