ランサムウェアの被害にあったら、身代金を支払うべきか?
大手ゲームメーカのカプコンがランサムウェアの被害にあい「身代金」の要求を拒否した。国内でもランサムウェアの被害が拡大しており「身代金」の要求に応じるべきか悩む企業も少なくないだろう。しかし、身代金支払いは最終手段であるべきだ。
■ランサムウェアとは何か?
ランサムウェア(Ransomware)とは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた名称であり、マルウェアの一種。サイバー攻撃者は、標的企業のシステムやデータを暗号化したり、どこか別の場所に移動したり、システムやデータを人質にする。そして、身代金が支払われるまでこれらの資産を利用することは出来ないと脅迫する。
身代金を支払わなかった場合には、暗号化されたデータは利用出来ないままであり、データが削除される可能性もある。最近の新たな戦術シナリオでは、データを暗号化したあとでデータ復旧のための身代金と、事前にデータを盗んでおき「盗んだ機密情報を公開されたくなければ身代金を払え」と脅迫する「二重の身代金」を要求する手口が実際に利用されだしている。
また、ランサムウェアを利用した攻撃が高度化しており、従来はメールの添付ファイルにランサムウェアを添付して無差別にバラまくような攻撃が主流だったが、最近は人が介在することで標的企業に対して様々な侵入方法を利用して、企業システムの制御権を奪うような事例も登場している。
■身代金を支払うべきか?
ランサムウェアの被害を受けると、重要なシステムが利用不可能な状況に陥る、業務が停止してしまう可能性もある。そのような状況で攻撃者から連絡があり「身代金を支払えば、システムの利用を再開させる」といった脅迫文が届けば、身代金を支払ってしまおうと考える企業は少なくない。実際ランサムウェアの被害にあった企業の3分の2が身代金を支払ったという調査結果がある。
しかし、身代金の支払いは最終手段と考えるべきである。
・データが戻らないリスク
相手は犯罪者であり、身代金を支払ったからといって、データが返却される保証はない。トレンドマイクロの調査によれば、身代金を支払った企業の5社に1社はデータを取り戻せていない。
・データが改竄されているリスク
運良くデータが返却されたとしても、そのデータが改竄されていない保証もない。例えば財務データや顧客情報が返却されたとしても、そのデータが改竄されていれば全く価値の無いデータを受け取ったことになる。
・データがコピーされているリスク
運良くデータが返却され、改竄もされていなかった。しかし、そのデータが犯罪者の手元にコピーされていたら?ソースコードや設計書といった機密情報や個人情報がコピーされて、身代金支払い後にダークウェブで販売されたとしたら?
・第二、第三の攻撃にあうリスク
運良くデータが返却され、改竄もコピーもされていなかった。身代金を支払って一件落着となるだろうか?そう考える前に「なぜ、ランサムウェアに感染したのか?」の原因が解明出来たか考えてほしい。もし、原因が解明出来ていないのであれば、サイバー攻撃者は前回侵入に成功した手段や、前回侵入した時に仕掛けた「バックドア」から「再訪」し、またデータを暗号化するかもしれない。
サイバー攻撃者にとって「一度身代金を支払った企業はお得意様」になるからだ。
・犯罪者に軍資金を提供する行為
身代金を支払う行為は犯罪者に軍資金を提供する行為であり、味をしめた犯罪者は、受け取った身代金を活用し新たな攻撃手法を開発するかもしれないし、より一層攻撃頻度を増やすかもしれない。サイバー攻撃はもはやビジネスとなっているので「儲かるビジネス」を手放すことは無いからだ。
■予防が最も効果的
企業にとって最も望ましいことは「身代金を支払うか?」という状況に追い込まれないことだ。ランサムウェアは企業の規模に関わらず全ての企業が標的になり得るので、ランサムウェア被害に合わないための予防措置に力をいれることを推奨したい。
1) 定期的にバックアップをオフライン/オンラインで取得する
データ暗号化の被害にあった組織の56%が、バックアップを使用してデータを復元したという調査結果がある。バックアップを使用してデータを復元出来れば、身代金を支払うよりも攻撃に対処するコストが大幅に削減される。
2) 多層防御を導入する
ランサムウェアに感染するとパソコンやサーバのマルウェア対策に重点を置きがちになるが、ランサムウェアの侵入経路は多岐にわたること、またマルウェア対策ツールを迂回する事例は多数報告されているため、デバイスの保護だけでは十分な対策とは言えない。ゼロトラスト化による認証強化や、メールの添付ファイルのスキャン、不審なサイトへの誘導を禁止したり、DNSを利用した不正な通信対策等、多層防御で攻撃に備えることが重要だ。
3) 保険を検討する
もし被害にあった時のことを想定し、サイバーセキュリティ保険と事業中断保険の加入も検討すべきだろう。サイバーセキュリテイ保険にはランサムウェアの被害が含まれていないこともあるので、加入を検討する場合にはランサムウェアによる被害が対象となっているか確認することを推奨する。
4) ランサムウェア被害発生時の連絡網を整備する
ランサムウェア攻撃が発生した場合の緊急連絡網を整備しインシデント対応プレイブックの一部として定期的に更新しておくことを推奨する。この連絡先にはインシデント対応チームの他にも法執行機関、外部弁護士、保険会社、規制当局、IRチームを含めておくと良いだろう。
5) 身代金支払いの意思決定用企業ポリシーを準備する
これは、最後の手段ではあるが、あらゆる手段を尽くしても事業継続のために止むを得ず「身代金の支払い」を選択する事態に陥る可能性はゼロではない。もしそのような事態に陥った時に、社内または社外の弁護士やサイバー保険会社と相談し、オプションとして身代金の支払いに関する企業ポリシー(および合法性)を確立しておくことも大切な予防の一つだ。