ランサムウェア対応では、基本的に「身代金を支払うべきではない」という考え方が主流だと思います。しかしこれはあくまで企業ごとの事情に依る部分も多く、「絶対に身代金を支払わない」または「『支払う』というオプションを最初から排除する」という選択も極端である、という考え方もあります。
筆者も基本的には身代金を支払わずに、事業復旧と信用回復に努めることが重要だと考えています。今回は身代金支払いの背景にある攻撃者側や私たち防御側の実情を整理してみたいと思います。
●そもそも“身代金支払いは合法”なのか?
警察庁や日本サイバー犯罪対策センター(JC3)、情報処理推進機構(IPA)などが公開している資料を読んでみると、「身代金を支払うべき」または「支払ってはいけない」という文言はなく、事態が発生したら基本的には窓口に相談しよう、と促しています。これは被害に遭った組織の状況なども勘案すべきことなので、当たり前といえば当たり前でしょう。
一方でセキュリティベンダーや当局が連携した「No More Ransom」プロジェクトのWebサイトでは、トップページに大きく「身代金を支払ってもデータを取り戻せる保証はないため、絶対に支払ってはいけません」と明記されています。こちらも組織の立場としては正しい主張だと思います。
これは余談ですが、ランサムウェアグループに身代金を支払った場合、そのグループが財務省が公開する「経済制裁措置及び対象者リスト」に含まれていると、「外国為替および外国貿易法」に違反する可能性はあります。ただし、ランサムウェアグループと、このリストのひも付けは相当難しいため、リスクとして存在することだけは頭に入れておくべきでしょう。
しかし身代金を支払うことで早期に復旧できる可能性がゼロではなければ、事業が停止しているというリスクとてんびんにかけた結果、支払ってデータを取り戻す、あるいはリークサイトから削除してもらうという判断もあり得るでしょう。それでも本当に支払ってはならないのでしょうか。この部分については、最新情報を見るとやはり「支払わないほうがいいのでは?」と考えられるデータが出てきています。
●日本市場はランサムウェアグループ的に「おいしくない」
セキュリティベンダーのProofpointは2024年4月に「ランサムウェア感染率/身代金支払率15か国調査 2024」を公開しました。
同調査によると「日本における身代金の支払率は32%と、世界平均の54%と比べて圧倒的に低い値」を示していました。調査では、日本は前年と比べて14ポイントも支払率が上昇したにもかかわらず、それでも世界的に見れば低い水準だとされています。
さらに、身代金を支払ったにもかかわらずデータやシステムが復旧したのは「日本は17%にすぎず、身代金を支払っても復旧がスムーズに進む確率は高くない」とまとめられています。
この他、ウィズセキュアが公開したレポートについても見てみましょう。2024年9月4日に公開された「最新ランサムウェア脅威レポート 2024年上半期版」を見ると、ランサムウェア業界の規模はほぼ横ばいですが、攻撃件数や身代金の支払額は上昇傾向にあるようです。
このレポートでは、ランサムウェアグループの中でも内部分裂が起き、攻撃実務を担当したアフィリエイトが、使用したランサムウェアを製作したグループ「ALPHV」からの支払いを受けられず、攻撃者同士での詐欺が実行されたという事件にも触れられています。
ランサムウェア被害者から見れば“信頼”すべき攻撃者(アフィリエイト)に身代金を支払ったとしても、ランサムウェアグループからは支払いを受けられないため、身代金の払い損となります。ここからも身代金を支払ったときのリスクが見えてきます。
●ランサムウェアグループはなりふり構わない 被害は中小企業にまで
同レポートでは、ランサムウェアのターゲットが小規模企業になりつつあることも触れられています。ランサムウェアは攻撃側にとって高コストになりつつあること、被害者からの支払率が低くなっていることから、より多くの組織に攻撃を仕掛けなければならない状況が見えてきます。
これらを踏まえても、筆者は「身代金を絶対に支払ってはならない」とは断言できません。なぜなら「実際に被害に遭い、事業を継続しなければならない」という切実な状況にある組織にとって、選択肢を最初からなくすのは非情だと思うからです。
ただし最新の情報を見る限り、かつてのようにランサムウェアのエコシステムが“信頼”を重視し、ビジネスとしてランサムウェア攻撃を仕掛けているとは思えなくなってきているのが実情です。企業はこの現状を頭に入れた上で、身代金の支払いを決断する必要があるでしょう。また、身代金を支払った際には「なぜ支払ったのか」について説明責任も果たせるように準備しておくことが重要です。
こうした問題はありますが、企業は身代金を支払うかどうかではなく、そもそもランサムウェア被害を防ぐためにはどうすればいいかを考えた方が有意義でしょう。筆者としては、「バックアップを取得し、迅速に事業が復旧できるように訓練すること」「認証/認可の見直し」「管理者権限の見直し」といった基礎的な対策を固めることが重要だと思っています。
対策の中には、ネットワークのマイクロセグメンテーション化により、侵入されたとしても横展開を防ぐなど、攻撃者視点で「嫌がられること」を着々と実施することなども含まれるでしょう。
身代金については、支払うべきかそうでないかは場合によるものの、その判断は経営者がするしかないと思います。それは平時にある程度、方針を決めておく必要があるでしょう。経営者がそれを考えた時、セキュリティ対策をもう一度見直してもらうよい機会になるかもしれません。平時の今こそ、その心構えの準備をしておいてください。
筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。