ランサムウェア身代金「払う、払わない」の“正解”は？ Gartnerの識者が議論：ランサムウェア攻撃の身代金支払いの是非【中編】

ランサムウェア攻撃を受けた企業は、身代金の要求に応じるかどうかを判断する必要がある。Gartnerのアナリストが、判断の基準や是非について持論を語る。

[Arielle Waldman，TechTarget]

　ランサムウェア（身代金要求型マルウェア）攻撃が拡大するにつれ、身代金の支払いを巡る論争が物議を醸すようになった。米政府中枢は身代金の支払いに強く反対する立場を表明したが、食肉加工会社JBS USA、バックアップ製品ベンダーExaGrid Systems、石油パイプライン企業Colonial Pipelineといった米企業が要求に応じている。

「身代金を払うべきか、やめるべきか」Gartnerアナリストが議論

併せて読みたいお薦め記事

ランサムウェア攻撃に備えるには

• ランサムウェアに襲われた自治体が、身代金を払わないために使った“切り札”とは
• ランサムウェアに襲われた自治体IT幹部に聞く、見落とせない対策ポイントとは？
• 身代金は払わない　ランサムウェア被害のCIOが安心した「バックアップ」の効果

　最近では、身代金の支払いを助長しかねない企業に対する制裁を含め、政府が支払いを抑止する施策を設けるようになった。例えば米財務省外国資産管理局（OFAC）は2021年9月、暗号資産取引業者SUEX OTCに制裁を与えることを発表した。SUEX OTCは攻撃者がランサムウェア攻撃などの手段で不正に得た利益の資金洗浄（合法化）に関わったという。

　「身代金を支払った企業が、再びランサムウェア攻撃に遭うこともある」と、調査会社Gartnerのアナリストであるポール・プロクター氏は解説する。同社の統計によれば、ランサムウェア攻撃を受けて身代金を支払った企業の80％が、再度ランサムウェア攻撃に遭った。

　被害企業が身代金の支払いに応じることは、「基本的には攻撃者を再び招くことと同義だ」とプロクター氏は強調する。「『保険会社が身代金を支払ってくれる』『用意していた金で身代金を支払えば済む』という考えは、そううまくはいかない。付けは回ってくる」（同氏）

　プロクター氏は、身代金を支払った場合の反動を認識した上で、1つだけ要求に応じることを勧める場合があるという。それは「どうしてもデータを復旧できない」場合だ。「データのバックアップがなく、何もない所からデータを作り直すことを望まない場合は、身代金を支払うしかない。選択の余地はない」と同氏は話す。

　Gartnerアナリストのサム・オリャーイ氏は、身代金の支払いについて賛成、反対のいずれの立場にあるか明確な姿勢を示さない。オリャーイ氏は「企業が身代金を支払うべきかどうかについては、われわれは勧告や提言はしない」と語る。

　ランサムウェア攻撃に遭った企業が身代金を支払っても、元のデータを取り戻せる保証はない。標的企業システムの中に何カ月も潜伏して、バックアップデータを含めて暗号化するランサムウェアも登場している。「データを100％取り戻すことは不可能に近い」とオリャーイ氏は見解を述べる。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。