企業によるランサムウェアへの身代金支払い額が減少傾向にある。こうした傾向は望ましいが、企業がランサムウェアによる侵害を受けたら危機的な状況に陥ることには変わりがない。攻撃を受けたらどうすべきなのか。
インシデント対応サービスを提供するCoveware(Veeam Softwareが2024年に買収)が2025年2月に発表した調査内容によれば、2024年第4四半期(10〜12月)にランサムウェア(身代金要求型マルウェア)攻撃を受けた企業のうち、身代金を支払ったのは25%にとどまった。これは過去最低の水準であり、「ランサムウェアとの戦いの重要な節目」であると同社は述べている。
同調査では、支払われた身代金の中央値が11万890ドルで、2024年第3四半期(7〜9月)と比べて45%減少したことも明らかになった。企業による身代金の支払いが減少している背景には何があるのか。企業がランサムウェアによる攻撃を受けた場合、どのような判断をすべきか解説する。
ブロックチェーン関連サービスを提供するChainalysisは、ランサムウェアグループが2024年に集めた支払総額を8億1300万ドルと推定しており、これは2023年の12億5000万ドルと比較して約35%の減少だ。
Covewareによれば、企業がITシステムのバックアップやリカバリー体制を強化しており、インシデント発生時でもバックアップを成功させるようになっている。そのため、ランサムウェアによって暗号化したデータやシステムに対する身代金の要求が成功しなくなっている。
こうした明るい兆しはあるものの、企業がランサムウェア攻撃を受けた場合、それが深刻な危機であることに変わりはない。危機に直面した企業は、迅速な対応、被害状況の把握、そして「身代金を支払うべきか」という問いに向き合うことになる。
「企業がランサムウェアに攻撃され、抑止策もむなしく感染してしまった場合、まず『これは支払わなければならないのか』、そして『われわれはランサムウェアグループの言いなりになるしかないのか』という問いに直面する」と、HIMSS(病院情報管理システム学会)北米支部のサイバーセキュリティおよびプライバシー担当上級主任リー・キム氏は述べる。キム氏をはじめとする専門家によれば、これらの問いに答えることは容易ではなく、難しい検討を要する。
米連邦捜査局(FBI)は企業がランサムウェアグループに対して身代金を支払うことを推奨していない。身代金を支払ったとしてもデータを取り戻せる保証はなく、FBIの見解では、身代金を支払うとランサムウェアグループはさらに標的を探すようになる。他の攻撃者にもランサムウェア攻撃のインセンティブを与えることになる。
そもそも身代金の支払を禁止している国や州もある。米国のフロリダ州、ノースカロライナ州、テネシー州など米国の複数の州では、公的機関による身代金の支払いを禁じる法律が制定されている。ノースカロライナ州の法律は公的機関が攻撃者と交渉すること自体も禁止している。
ランサムウェア攻撃によるデータやシステムの暗号化が発生するのは、攻撃者が企業の防御を突破してから数日の場合もあれば数か月後の場合もある。攻撃者は通常、標的の企業が所有するITシステムの脆弱(ぜいじゃく)性を探すなど偵察してから攻撃を仕掛け、デバイスをロックしたり、データを暗号化したり、抜き取ったりして、「身代金を支払わなければ公開する」と脅迫する。
ランサムウェアグループは、テキストファイルやメールを通じて企業に接触することがある。中にはボイスメールを使用する場合もあれば、ダークWebのチャットアプリケーションや専用サイトに誘導する場合もある。「攻撃を受けた企業は、この時点でハッカーとの交渉に応じるかどうかを判断しなければならない」と、FBIサイバー部門のアシスタントセクションチーフのキリアコス・バシラコス氏は解説する。
FBIは、自らの幹部が交渉する企業とも、インシデント対応業者や専門の交渉人を活用する組織とも協力してきた。バシラコス氏は次のように述べる。「FBIとしてはどちらかの選択肢を推奨するという立場は取っていない」
攻撃者は被害者に対して第三者を関与させないよう警告することがあるが、バシラコス氏はすぐに一本の電話をかけることを推奨する。「できるだけ早くFBIを関与させるべきだ」
FBIは攻撃の調査に加え、専門的な助言や、場合によっては復号キーを提供することもある。バシラコス氏は、FBIが被害者の情報を機密として取り扱っていることを強調する。
被害を受けた企業は経験豊富なランサムウェア交渉人を雇うべきだという意見もある。「サイバー賠償責任保険には、ランサムウェア攻撃を受けた際にはプロの交渉人を雇うことと明記されているケースがある」とキム氏は指摘する。雇用すべき交渉人を保険会社が指定する場合もあるという。
法律事務所Clark Hillでサイバーセキュリティ、データ保護、プライバシー領域を統括するメリッサ・K・ベントローネ氏は「交渉には技術、法律、財務などが関わるので、熟練のプロに任せた方がいい」と述べる。交渉人は、その支払いが国の罰則規定に違反しないかどうかのチェック方法を熟知しており、身代金支払いに必要な暗号通貨の取り扱いにも慣れている。
ベントローネ氏の法律事務所はこれまでランサムウェア対応に関わってきたが、交渉人は外部業者に委託するという。ベントローネ氏によれば、攻撃された企業の幹部が自ら交渉しようとしても、すぐに自分たちではどうにもならないことを悟るという。
「プロの交渉人の多くは法執行機関、軍、または情報機関での経験がある」とサイバーセキュリティコンサルティング企業S-RM Intelligence and Risk Consulting(S-RMの名称で事業展開)で米国のサイバーセキュリティ責任者を務めるポール・カロン氏は述べる。
攻撃された企業の幹部は、睡眠不足で強いストレスの中、危機対応に取り組むことになる。一方で、「プロの交渉人は、そうしたプレッシャーや雑念に煩わされることなく、サイバー犯罪者とのやりとりに集中できる」とカロン氏は話す。「プロの交渉人は過去の交渉から得た知見を生かし、依頼者にとってより有利な解決が図れる可能性がある」(同氏)。
キム氏も、ランサムウェアの被害者には交渉人を雇うことを勧めている。ほとんどの被害者は、このような重大な局面で交渉に求められる分析力や客観性を発揮できない。例えば、交渉の中で自分に不利に働く情報を不用意に漏らしてしまうことがある。
次回はランサムウェアの攻撃者との交渉を検討すべきタイミングを解説する。
米国Informa TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
