ランサムウェア攻撃で「データは復元できるのに身代金を払う」組織が増えた理由：「身代金」以外にも注目を【後編】

組織はランサムウェア攻撃に備え、暗号化されたデータを復元する対策を用意しているにもかかわらず、身代金を支払う例が散見される。なぜなのか。

[Alex Scroxton，TechTarget]

　セキュリティベンダーCheck Point Software Technologiesの脅威インテリジェンス部門Check Point Research（CPR）の調査によると、ランサムウェア攻撃の継続期間は短くなった。攻撃の継続期間は2017年から2020年にかけて増加を続け、2020年には平均で15日となったが、2021年には約10日に短縮した。この背景には、組織が“ある脅威”に直面している現実がある。

ランサムウェア対策をしても組織が「身代金」を支払う理由とは？

併せて読みたいお薦め記事

連載：「身代金」以外にも注目を

• 前編：ランサムウェア被害で“身代金”より「高くつくコスト」とは？

ランサムウェア攻撃の「身代金」支払いを巡る実例

• ランサムウェアに襲われた自治体が、身代金を払わないために使った“切り札”とは
• 「ランサムウェア」攻撃を受けた学校は身代金を払うべきなのか？　実例から学ぶ

　組織を脅かしているのは、データの不正な暗号化と同時に窃取した情報を暴露すると脅す「二重脅迫型攻撃」の存在だ。CPRによると、2020年頃から広がったこの手口により、攻撃グループと組織の交渉期間は長期化した。その影響で2020年の攻撃継続期間はピークを迎えたが、2021年には短縮した。

　「ランサムウェア攻撃の実態は、加害者と被害者が互いに優位性を競う中で常に変化している」とCPRは指摘する。組織がランサムウェアへの対策を強化する一方で、ランサムウェア攻撃グループは、攻撃の手口や交渉のプロセスを変えている。

　セキュリティベンダーSophosは2022年4月にランサムウェアに関する調査結果を発表した。調査結果において注目すべきは、攻撃により暗号化されたデータの復元手段を持つにもかかわらず、身代金を支払ったランサムウェア被害組織が相当数いることだ。同社によると、これは二重脅迫型攻撃の増加が影響しているという。つまり被害組織は、バックアップからデータを復元できるかどうかは気にしておらず、「データの不正な流出や販売を防ぐためには身代金を支払うしかない」と考えていることが分かる。

　CPRでマネジャーを務めるセルゲイ・シュキエヴィチ氏は、攻撃グループも被害組織も、身代金支払額以外の考慮事項を持っていると指摘する。CPRの調査によれば、ランサムウェア攻撃における交渉に当たり、攻撃グループは明確な基本ルールを持っている。ランサムウェア攻撃グループContiの場合、被害組織の財務状況やサイバー保険の有無、流出させたデータの質と重要度、さらには被害組織の交渉担当者のアプローチや利害関係まで把握している。特に同グループは、「身代金を支払えば適切にデータを復号し、情報漏えいはしない」という自らの評判を重視し、それを交渉に織り込んでいる。

　ランサムウェア攻撃グループが身代金の額を決めたり交渉を進めたりする際、その体系的である様には目を見張るものがあるという。「ランサムウェア攻撃グループの言動に場当たり的なものはなく、根拠に基づいて計画を立てている」とシュキエヴィチ氏は述べる。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。