Yahoo!ニュース

ランサムウェアデータ復旧サービスの注意点。勝手に身代金を支払われるリスクも

大元隆志CISOアドバイザー
(写真:イメージマート)

 ランサムウェア対策で一番重要なことは「予防」すること。しかし、不幸にも感染してしまった時に誰もが考えることは「データ復旧サービス」があるのではないか?ということではないでしょうか。

 しかし、ランサムウェアは簡単にデータが復旧出来るわけではありません。「データ復旧サービス」に相談した結果、勝手に身代金を支払われるリスクも考慮する必要があります。

■データ復旧の可能なランサムウェアも存在する

 ランサムウェアに感染すると基本的には「データのバックアップから復旧する」か「身代金を支払う」というのが主な回復方法となります。しかし、身代金の支払いは本当に最後の手段ですし、支払うことで「サイバー攻撃者の活動を支援した」となり法的に制裁を課せられるリスクもあります。

 現実的な選択肢としては「データのバックアップ」からの復旧となりますが、肝心のバックアップすら暗号化されてしまうケースも少なくありません。

 このような状況では「データの復旧手段はないか?」と誰もが考えることでしょう。一昔前まではランサムウェアに感染した場合の復旧方法は前述の2通りの選択肢しかありませんでしたが、最近はセキュリティ研究家やセキュリティベンダーによって一部のランサムウェアについて復号化ツールが提供されるようになりました。

No more ransom 等で復号化ツールが提供されています。もし、データ復旧手段を探しいる場合には一度対応する復号化ツールがないか確認してみると良いでしょう。

■主流なランサムウェア用、無料復号化ツールは存在しない

 しかし、残念ながら現在国内でも被害が確認されているConti、Lockbit、BlackCat/ALPHV等に有効な無料の復号化ツールは存在していません。

 また、例え無料復号化ツールが提供されていたとしてもランサムウェアは常にそれ自体がバージョンアップしたり、亜種が作成されるため必ずしも復号化ツールで復旧出来る保証はありません。

 河村電器産業はグループ5社が「CryptXXX」と呼ばれるランサムウェアに感染しましたがデータ復旧に断念したと報道されています。このCryptXXXは前述した「No more ransom」で復号化ツールが提供されていますが、河村電器産業はデータ復旧を断念したとあるので河村電器産業で利用されたCryptXXXには効果が無かったと推測されます。

■ランサムウェアデータ復旧サービス利用の注意点

 このように、全てのランサムウェアに効果のあるデータ復旧技術は確立されていないのですが、最近国内でも目にするようになって来たのが「ランサムウェアデータ復旧サービス」です。

 こういったサービスを利用する場合には注意する必要があります。まず、前提として「復号化ツールが提供されていないランサムウェア」の場合には、ほぼ復旧手段は存在しないと考えなければいけません。

 例えば国内企業でも感染事例の多いLockbitが利用する暗号化方式はAESと呼ばれるもので、この暗号化方式は米国NISTの推奨暗号化技術であり米国政府も利用している暗号化技術となります。

 米国政府が利用するレベルの暗号化技術ですから「簡単に復号化出来た」のではは軍事機密情報等も守ることができなくなります。

 ・ランサムウェアの被害増加に便乗する復旧ビジネス

 米国では「ランサムウェア復旧業者を装い、実は身代金を支払っているだけの業者」が過去に発見されセキュリティ業界で一時話題になりました。

ランサムウェアの復旧と称して身代金を勝手に支払い、データを復旧したとするケース
ランサムウェアの復旧と称して身代金を勝手に支払い、データを復旧したとするケース

 ロシアのセキュリティ企業「Dr.SHIFRO」は自らをファイルの復号化を専門とする唯一の会社と名乗ります。しかしながら、チェックポイント社の調査によって「Dr.SHIFRO」は復号化等実施しておらず、単なるサイバー攻撃者との仲介役であり、ランサムウェア攻撃のサービス増加に便乗したビジネスであり、今後模倣する企業も現れるかもしれないと警告しています。

 ・被害者が「犯罪者」になるリスクも

 日本ではランサムウェア攻撃者への支払いを禁じる法律はありませんが、海外では身代金支払いは違法となるリスクがあります。米財務省外国資産管理室(OFAC)が定めた制裁指定対象に金銭を支払った場合、企業は民事罰を科されるリスクがあります。OFAC制裁指定対象のランサムウェアの数はそれほど多くなく、実際に民事罰を受けるか否かは分かりませんが、少なくとも制裁対象となれば企業の評判を下げる危険性はあると考えるべきでしょう。

 上記のような「データ復旧を依頼したつもりが、身代金を支払われていた」ケースが実際どのように司法が判断するかは不明ですが、データ復旧業者に依頼する場合にはこういったリスクに巻き込まれるリスクも想定した方が良いでしょう。

■不審なデータ復旧業者を見分ける方法

 もし、以下のようなサービスを謳う業者があれば注意が必要です。

・全てのランサムウェアに対してデータ復旧が可能

・データ復旧が100%に高い確立で実施出来ると宣伝している

・No more ransom 等で復号化ツールが提供されていないランサムウェアに対して復号化可能と宣伝している

・「○○に対して復号化可能なのは我が社だけ」等と、技術の優位性をアピールしている

 ランサムウェアは世間でも大きな話題になっており、感染した場合には復旧作業に数ヶ月かかる事例も頻発しています。そういった被害者の弱みに付け込んだビジネスは今後活性化されることや、ランサムウェアグループが「復旧業者を装う」可能性も否定出来ません。

 「復旧したい」その気持は理解出来ますが、相談する先が信用できるのか?一呼吸おいて検討することを推奨します。

大元隆志
CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事