2022年07月28日 05時00分 公開
特集/連載

ランサムウェア攻撃で「データは復元できるのに身代金を払う」組織が増えた理由「身代金」以外にも注目を【後編】

組織はランサムウェア攻撃に備え、暗号化されたデータを復元する対策を用意しているにもかかわらず、身代金を支払う例が散見される。なぜなのか。

[Alex Scroxton,TechTarget]

 セキュリティベンダーCheck Point Software Technologiesの脅威インテリジェンス部門Check Point Research(CPR)の調査によると、ランサムウェア攻撃の継続期間は短くなった。攻撃の継続期間は2017年から2020年にかけて増加を続け、2020年には平均で15日となったが、2021年には約10日に短縮した。この背景には、組織が“ある脅威”に直面している現実がある。

ランサムウェア対策をしても組織が「身代金」を支払う理由とは?

 組織を脅かしているのは、データの不正な暗号化と同時に窃取した情報を暴露すると脅す「二重脅迫型攻撃」の存在だ。CPRによると、2020年頃から広がったこの手口により、攻撃グループと組織の交渉期間は長期化した。その影響で2020年の攻撃継続期間はピークを迎えたが、2021年には短縮した。

 「ランサムウェア攻撃の実態は、加害者と被害者が互いに優位性を競う中で常に変化している」とCPRは指摘する。組織がランサムウェアへの対策を強化する一方で、ランサムウェア攻撃グループは、攻撃の手口や交渉のプロセスを変えている。

 セキュリティベンダーSophosは2022年4月にランサムウェアに関する調査結果を発表した。調査結果において注目すべきは、攻撃により暗号化されたデータの復元手段を持つにもかかわらず、身代金を支払ったランサムウェア被害組織が相当数いることだ。同社によると、これは二重脅迫型攻撃の増加が影響しているという。つまり被害組織は、バックアップからデータを復元できるかどうかは気にしておらず、「データの不正な流出や販売を防ぐためには身代金を支払うしかない」と考えていることが分かる。

 CPRでマネジャーを務めるセルゲイ・シュキエヴィチ氏は、攻撃グループも被害組織も、身代金支払額以外の考慮事項を持っていると指摘する。CPRの調査によれば、ランサムウェア攻撃における交渉に当たり、攻撃グループは明確な基本ルールを持っている。ランサムウェア攻撃グループContiの場合、被害組織の財務状況やサイバー保険の有無、流出させたデータの質と重要度、さらには被害組織の交渉担当者のアプローチや利害関係まで把握している。特に同グループは、「身代金を支払えば適切にデータを復号し、情報漏えいはしない」という自らの評判を重視し、それを交渉に織り込んでいる。

 ランサムウェア攻撃グループが身代金の額を決めたり交渉を進めたりする際、その体系的である様には目を見張るものがあるという。「ランサムウェア攻撃グループの言動に場当たり的なものはなく、根拠に基づいて計画を立てている」とシュキエヴィチ氏は述べる。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news122.jpg

「ペプシチャレンジ」で煽られて焦ったコカ・コーラの“痛恨のやらかし”とは?
長年の間「コーラ戦争」を続けてきたCoca-ColaとPepsi。マーケティング施策でも切磋琢磨...

news149.jpg

デジタル化する顧客体験に関する消費者と企業の認識ギャップ――ナイスジャパン調査
問い合わせの初動としてインターネットやFAQ検索をする人が約8割。デジタルチャネルによ...

news042.jpg

気象データは近未来のデータ 予測に基づき「役に立つ」広告を届ける
気象データを活用することでどのような広告コミュニケーションが可能になるのか。海外の...