「ランサムウェア」感染企業が被害を明かさない“なるほどの理由”：サイバー攻撃の被害者が通報したがらない理由【中編】

法執行機関がランサムウェア攻撃などのサイバー攻撃の犯人逮捕で成果を上げている一方、企業はサイバー攻撃の被害通報にあまり積極的ではない。その理由や、機関と企業の思惑の違いを専門家の説明に沿って解説する。

≫ 2022年03月03日 05時00分公開

だから「ランサムウェア感染企業」は被害を報告しない

併せて読みたいお薦め記事

連載：サイバー攻撃の被害者が通報したがらない理由

前編「ランサムウェア」逮捕者続出の裏で深刻化する「企業が被害を報告しない」問題

サイバー攻撃の実情

　「サイバー攻撃の被害企業が法執行機関にインシデントの内容を報告することは、一般的には有益だが、法執行機関に主導権を握られるリスクもある」。セキュリティトレーニング企業KnowBe4でデータ駆動型セキュリティエバンジェリストを務めるロジャー・グライムズ氏はそう語る。法執行機関に報告すると、企業は自社や取引先、顧客などの関係者に影響が及ぶ行動を部外者の手に委ねることになる。企業は本来、そうした状態に陥ることを避けてきた。

　企業は「法執行機関に報告しても、容疑者の逮捕や身代金の回収はあまり実現しない」と考える傾向があると、グライムズ氏は説明する。そのため企業の上層部や法律顧問、IT部門は通報したがらない。「知識豊富なセキュリティ専門家はたいてい、有益または必要でない限り、法執行機関の関与を嫌う」と同氏は述べる。

　優先順位の違いも、企業がインシデント通報に消極的な理由の一つだ。「企業は法執行機関に喜んで協力はするが、企業の最優先事項は犯人逮捕ではない」と、法律事務所Baker McKenzieのパートナーで、顧客のインシデント対処に参加しているスティーブン・レイノルズ氏は指摘する。レイノルズ氏によると、企業がランサムウェア攻撃を受けた際、大半は業務の再開を第一に望む。企業がインシデント対処において重視する問題点は、

攻撃者から復号手段を入手できるかどうか
盗まれたファイルが流出する危険性
身代金の支払いが規制違反になるかどうか
身代金支払いに関連する企業のポリシーや規定

などだ。

　ランサムウェア攻撃を受けた企業の最優先事項は、システムを復旧させて通常業務に戻すことだとレイノルズ氏は指摘する。「法執行機関は犯人逮捕を優先するが、企業にとってそれはさほど重要ではない」（同氏）

　米国では複数の法執行機関や規制組織がランサムウェア攻撃への関心を高めていると、レイノルズ氏は指摘する。通報プロセスが複雑化し、被害企業がどこに報告すればよいかが分かりにくくなったことが、状況を悪化させている。「多くのランサムウェア攻撃は公表されず、法執行機関にも報告されていない」。米下院の監視・政府改革委員会が2021年11月に開いた公聴会「Cracking Down on Ransomware: Strategies for Disrupting Criminal Hackers and Building Resilience Against Cyber Threat」で、FBIサイバー部門のアシスタントディレクターであるブライアン・ボーンドラン氏はこう述べた。

　FBIのインターネット犯罪苦情センター（IC3）に2019年から2020年にかけて寄せられた報告によると、ランサムウェア攻撃の報告数は2047件から2474件、被害総額は約897万ドルから約2916万ドルに増加した。だが報告されたインシデントは、実際に発生したインシデントの一部にすぎない。「米国の法執行機関は、民間組織からの報告がなければサイバー攻撃を把握できない」とボーンドラン氏は説明する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

TechTargetジャパントップセキュリティ