時に、易きに流れるのは破滅への第一歩となる。

ESETのブログサイト「WeLiveSecurity」が「ランサムウェア――支払うべきか否か」（Ransomware: To pay or not to pay?）という記事を公開した後、SCコンピューティング社のブラッドリー・バース（Bradley Barth）氏がこの記事に対して反論を行った。バース氏は、支払う方が安上がりであるから、バックアップをとっていたとしても、その組織がランサムウェアへの支払いをした方がよいと考えているようだ。

「無防備」VS「防御不十分」

どの企業・組織でも防御を全く導入していないということはない。だが問題なのは、不適切な防御を導入している企業があるということだ。大事なのは、あらゆるセキュリティを導入することではなく、あらゆるセキュリティホールをふさぐことであるが、現実問題として、どの企業・組織でもそこまで十分にセキュリティに精通しているわけではない。

ポリシーなくして一貫性なし

バース氏はとりわけ、特定の研究、サンプル、データ、あるいは事例証拠に注目している。しかし、それに対して機密性の問題に抵触することなく特定の例を出すのは、なかなか難しい。ただし、ESETのスティーブン・コッブ（Stephen Cobb、シニアセキュリティ研究者）は次のように、一般性があり、かつ適切な例を提供している。

「あるパネル討論で話した際、そこにはさまざまな聴衆がいました。主にそれは、多くの顧客を抱える300ものMSP（マネージドサービス・プロバイダ、つまり、Webサイトの運営をクライアントに代わって行うサービス事業者）でした。彼らに、次のような事例を伝えました。バックアップを用いて復旧できるにもかかわらず、システム管理者は身代金を支払っていたというものです。その危険性は、身代金を支払ったにもかかわらずデータを取り戻せないことよりもずっと大きく、「手ぬるい標的」と見なされ、再び襲われるという危険性が増します。どんな事例でも、身代金の要求に対するシステム管理者の対応を制限するようなルールやポリシーは、存在していません。約60名の災害復旧の専門家の研修を実施した際にも、ほとんどの組織は、ポリシーマニュアルでもインシデント教則集でも、身代金の要求をどのように取り扱うのか明確な対処を行っていませんでした」

ヒューマン・ファイアウォール

ランサムウェアからの攻撃に対して、何らかのウイルス対策ソフトを何の設定も行わずに使用し、その防護に頼っているだけでは、残念ながら全く不十分である。主流のセキュリティプログラムは、既知のランサムウェアを発見するには優れているが、未知のランサムウェアに対しては、ふるまい検知を行って見つける方が、良い選択肢と言えそうだ。ただし、いずれにせよ100％発見できるわけではなく、セキュリティソリューションにのみ依拠してしまっては、組織内の誰かが不注意に行動してしまえば、攻撃の隙を与えてしまいかねない。教育（研修）とポリシーの立案と周知が、欠陥のある対策よりもむしろ守備固めにはしばしば有効なのだ。

多様性と防御線

もしもランサムウェアが実行の機会を得れば、発生する被害の量は、実行される環境におけるアクセス制限によって限定される。バックアップシステムが不運なことにランサムウェア対策のセキュリティよりも利便性を重視して整備されている場合、たとえ組織の外部の環境に置いてあったとしても、バックアップデータもまたそのマルウェアによって侵害され得る。

身代金を払えばトラブル解決なのか

もしも組織が安易に目の前のトラブルに対応しようとし、いつも身代金を支払えるという心構えを持ってしまっていると、今よりも多くのトラブルに巻き込まれる可能性がある。しかも、必ずしも身代金を支払えばデータが復旧されるとは限らない。以前、ランサムウェアを使った犯罪集団から脅された人物は、次のようにコメントしている。

「ファイルが元に戻ることを期待しました。なぜならそれがビジネスだからです。つまり、どうやって稼ぐのか、ということです。もし身代金が支払われた後に復号しなかったなら、誰も身代金を支払わなくなります。皮肉にも、彼らのサポートは驚嘆するものでした。ほとんどの会社より優れています」

どうであろうか。これは全くの間違いではないが、とても問題のある発言だ。事実として、ランサムウェアやほかのマルウェアへの犯罪組織の「カスタマーサポート」がとても有効だというのは、あまり一般的なこととは思えない。ほとんどの会社よりも優れているというのは、誇張であろう。ただし、確かにこれまで多くの人は、一般的な企業からひどいサポートを受けたことがあるかもしれない。そのことについては残念ではあるが同意しよう。しかし大半の犯罪組織は、もしそうしなければ支払う人がいなくなってしまうが故に、支払いをした犠牲者に復号鍵を提供するだけなのである。

犯罪者を信じる？

しかし、犯罪者組織（あるいは個人）によっては、企業・組織あるいは個人が支払いをしてデータを取り戻したいと思っていても、そのことに関心が全くない場合もある。例えば、およそ3,000円（25ユーロ）程度の身代金を要求するものの、暗号化を行わず単純に削除してしまう「ヒトラーマルウェア」というランサムウェアもある。コンピューター初心者向けのQ&Aサイトとして名高いサイト「ブリーピングコンピューター」のローレンス・エイブラムス（Lawrence Abrams）氏は、このマルウェアについて説明を行っている。それによれば、あまりスキルが高くない開発者によって作られたランサムウェアの場合、すでにファイルを削除するのが標準となりつつあると主張している。似た例としては、Linuxを標的としたランサムウェア「フェアウェア」（FairWare）も、その攻撃者が侵害したサーバーから動かしたデータのコピーを実際に保持しているか、単純に削除しているかどうかが不明確である。攻撃者らが「データを見ることができますか」という質問を無視すると明言しているので、楽観的な見方をすることはできないであろう。

暗号解読ツールの縮小化

こうした市場の末端にいる開発者は、いたずらを目的としているため、あまりデータを元に戻させる気がないどころか、暗号化のメカニズムを使って全く復元不可能にしてしまう恐れさえある。より専門性の高い犯罪集団でさえ、そうした「手抜き」を行う恐れがある。また、ブリーピングコンピューターによる別の報告によれば、「クリプト・トリプルエックス」（CryptXXX version 3.0）というランサムウェアは、無料でファイルを復号できるカスペルスキーの「ランノーデクリプター」（RannohDecryptor）を無効にするばかりか、犯罪者たちの復号鍵さえ破壊してしまう。そのため、身代金を支払っても被害者が復号ツールを使って復元できるという保証が全くない。要するに、ランサムウェアを使う組織は場をかき回すことはあっても、被害者の利益を考えて動くことはないのである。さらに、場合によっては、ウイルス対策ソフトが復元のプロセスを妨害することも起こり得る。もしもファイルがすでに暗号化されてしまっているなら、マルウェアを除去してしまうと暗号化を復元できなくなってしまうからである。

データの復旧はランサムウェアだけに関わる問題ではない

こうしたシナリオが、ごく一般的なものだと言うつもりはない。しかし犯罪者たちの攻撃がやむことはない。そしてもちろん、ランサムウェアのリスクは、安心できるバックアップ対策を行うということで全てが解決できるわけでもない。だが、ランサムウェアに全く関係のないことでもデータが失われたり破損することもあり得る。その場合には、いくらかのビットコインを差し出しても、高価なデータ復元の専門家に頼っても、問題は解決できない。

「用心のための支払い」と「用心棒のための支払い」

このように、組織が攻撃に対して十分に準備を行っておらず、しかもそうした攻撃についての理解も十分ではなかったというコッブが描いたシナリオは、かなり現実的である。

ある学術機関では、データを取り戻すために約1万円（100ドル）の支払いを要求された。恐らくこれは、犯罪集団が大きな組織を狙っているのではなく、卑劣にも「情報弱者」のような個人から利益を得ようとしていることを示している。こういう場合、支払いをしてしまいたくなる誘惑にかられる。もちろんこれは、侵害されたデータの復元がどこまで可能なのかにもよる。どれだけたくさんのデータが使えなくなったのか、どれだけ早く簡単にバックアップから復元できるか、ということは非常に重大な問題である。ただしこの事例においては素晴らしいことに、そうした選択肢を取らなかった。しかし、コッブが示唆するように、時に組織は易きに流れる。はっきりと言えば、多くの場合、支払ってしまう可能性がある。そしてこれこそ、犯罪組織が狙っているものなのだ。別に、全ての被害者に高邁な精神を求める必要はない。しかし、用心のために支払うことは問題ないとしても、用心棒のために支払ってもいいのだろうか。すなわち、犯罪者に金銭を支払うことによって支払った人間は犯罪者を養っているようなものだ、という認識は持っておいた方がいいのではないだろうか。

先に引用した論者は次のようにも述べている――「明らかに、誰もが口をそろえて訴えるバックアップ戦略とITセキュリティ専門家を補強するというだけでは、ランサムウェア被害の現実的課題に迫ることができない」のである。

確かに、明白だからと言って常に正しいとは限らない。迅速な対応は短絡主義に早変わり、費用削減は長期的には費用を増大させることもある。

しかし、事実を前にしてはじめてセキュリティへのリソースにコミットするだけのCEOをはじめとした経営陣のことを「役立たず」とののしり、ただ対症療法的な対策を行うだけでは、あまりにもお粗末すぎる。

経営トップレベルが決定したセキュリティ対策の多くは間違っている。しかし、かといって組織のトップが、自分たちのことをはっきりと無視するようなセキュリティの専門家を雇うこともないのである。