ランサムウェア身代金、支払うべきか、支払わないべきか 最新事情から考える

「The No More Ransom Project」のトップページには、支払うべきではないと明記されている（出典：The No More Ransom ProjectのWebサイト）

　ランサムウェア対応では、基本的に「身代金を支払うべきではない」という考え方が主流だと思います。しかしこれはあくまで企業ごとの事情に依る部分も多く、「絶対に身代金を支払わない」または「『支払う』というオプションを最初から排除する」という選択も極端である、という考え方もあります。

　筆者も基本的には身代金を支払わずに、事業復旧と信用回復に努めることが重要だと考えています。今回は身代金支払いの背景にある攻撃者側や私たち防御側の実情を整理してみたいと思います。

●そもそも“身代金支払いは合法”なのか？

　警察庁や日本サイバー犯罪対策センター（JC3）、情報処理推進機構（IPA）などが公開している資料を読んでみると、「身代金を支払うべき」または「支払ってはいけない」という文言はなく、事態が発生したら基本的には窓口に相談しよう、と促しています。これは被害に遭った組織の状況なども勘案すべきことなので、当たり前といえば当たり前でしょう。

　一方でセキュリティベンダーや当局が連携した「No More Ransom」プロジェクトのWebサイトでは、トップページに大きく「身代金を支払ってもデータを取り戻せる保証はないため、絶対に支払ってはいけません」と明記されています。こちらも組織の立場としては正しい主張だと思います。

　これは余談ですが、ランサムウェアグループに身代金を支払った場合、そのグループが財務省が公開する「経済制裁措置及び対象者リスト」に含まれていると、「外国為替および外国貿易法」に違反する可能性はあります。ただし、ランサムウェアグループと、このリストのひも付けは相当難しいため、リスクとして存在することだけは頭に入れておくべきでしょう。

　しかし身代金を支払うことで早期に復旧できる可能性がゼロではなければ、事業が停止しているというリスクとてんびんにかけた結果、支払ってデータを取り戻す、あるいはリークサイトから削除してもらうという判断もあり得るでしょう。それでも本当に支払ってはならないのでしょうか。この部分については、最新情報を見るとやはり「支払わないほうがいいのでは？」と考えられるデータが出てきています。

●日本市場はランサムウェアグループ的に「おいしくない」

　セキュリティベンダーのProofpointは2024年4月に「ランサムウェア感染率/身代金支払率15か国調査 2024」を公開しました。