CTOのひとりごと「ランサムウェア:払うべきか払わざるべきか、それが問題だ」

About CTO Blog: CTOのひとりごと「ランサムウェア:払うべきか払わざるべきか?」(2)

ランサムウェアと身代金の歴史

ランサムウェアというと、古くて新しい印象を受けます。本年9月に米国Rapid7が実施したウェビナー、 “The Cost of a Breach” (スピーカー:Jeffry Gardner - Practice Advisor, Rapid7)によると、世界で

初めてのランサムウェア攻撃は、1998年に発生しているとのこと。フロッピーディスクを介してウイルスに感染させ、データの暗号化を行い、身代金として199ドルをパナマの私書箱に送らせたものとしています。データの暗号化と脅迫を行ったことから、単なるウイルスとは異なる「ランサムウェア」(身代金を目的としたマルウェア)と定義されました。

今日のランサムウェア被害

同ウェビナーによると、今日のランサムウェアの被害金額は、米100万〜700万ドル程度とされています。現在の円ドルレート換算で1.5億〜10億円程度というところでしょうか。199ドルからずいぶん進化しています。年商の約3%相当とも言われていることから、ご自身が被害にあった場合にどれくらい請求されるか、計算してみてください。

もっともこれは米国での金額です。日本ではどうでしょう?

先日、日本ネットワークセキュリティ協会(JNSA)が「サイバー攻撃被害組織のアンケート調査(速報版)について」という資料を発表しています。同資料で公表されたJNSAが実施したアンケート結果によると、ランサムウェア感染組織の被害金額は2,386万円となっています。

最近のランサムウェアは進化しており、単に復号鍵との交換条件としての身代金支払いだけでなく、窃取したデータのダークウェブ等での公開や、DDoSなどの副次的攻撃を行うなど、二重三重の脅迫を行うケースが少なくありません。また、復号鍵を入手したとしても、暗号化されたデータが問題なく復号される保証もありません。

第一世代ランサムウェアとも言える、暗号化のみを目的としていたランサムウェア被害は、バックアップで対応できると考えられていました。しかし、バックアップすらすでに暗号化されたりマルウェアを仕込まれていたり、というケースも予測できます。第二世代以降の二重三重脅迫を恐れて支払いに応じたとしても、「カモリスト」に名前が載り、何度も被害に遭うというケースもあります。

ランサム:払うべきか、払わざるべきか

いずれにしても、ランサムウェアの被害に遭えば、払うか払わないかの二択を迫られることに変わりはありません。

どちらの選択が正しいのでしょうか?ここで断言することはできませんが、前述のJNSAの調査結果によると、JNSAのアンケートに回答したすべての組織が「身代金は払っていない」と回答しています。この回答の背景には、バックアップデータの活用があるようです。回答組織の50%はバックアップから無事データ復旧ができたと回答しています。しかし逆に、50%はデータ復旧できていないということであり、ランサムウェアの持つ課題を浮き彫りにしています。

払うべきか、払わざるべきか ー この命題に関して国外に目を向け、最近米国政府がランサムウェアに関して出した声明に注目してみたいと思います。2021年にジョー・バイデン大統領によって開催されたランサムウェア・イニシアティブの今年の会合において、同イニシアチブの加盟国、約50ケ国間の情報共有や、新しい情報共有プラットフォームの立ち上げについてのほか、加盟国が身代金を支払わないという宣言が行われています。さらにこの宣言は、加盟国国家のみならず、その民間企業にも同調を促す考えとのことです。

ランサム(身代金)を支払ったとしても、その結果、攻撃者に経済的支援を与えるにすぎません。被害組織には何のメリットもないどころか、新たな被害組織を産むきっかけを作りかねません。その観点で、この声明は極めて正しい姿勢を示していると言えるでしょう。

最善の選択肢とは

ランサムウェアに限った話ではありませんが、侵害が一度発生してしまえば、通常の状態に戻すまでに人的コストもかかれば機会損失も発生します。まず、ランサムウェアの被害に遭わないためのセキュリティ態勢を作っておくこと、そして、侵害が深刻化する前に検知対応することこそ、深刻な被害を生まないための、最善の対策であると言えます。これらの態勢づくりこそが、身代金を払うか払わないかで悩まなくて済むための、最善の選択肢であると言えるでしょう。

 

CTO 古川勝也とのインタビューに基づく

文:ラピッドセブン・ジャパン株式会社 横川典子