身代金をランサムウェアの要求通りに支払うべきか否か

この記事をシェア

ランサムウェアに感染した場合、コンピューターに保存されているデータが全て暗号化されて利用できなくなってしまう。だが、攻撃者の要求に従ってビットコインなどで「身代金」を支払うと、データは復旧することがある。もちろん、しないこともある。はたして支払うべきか否か。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

ユーロポール(欧州刑事警察機構)は2016年7月末ごろにランサムウェアの問題に対する取り組み指針(イニシアティブ)を公表した。「セキュリティウィーク」(Security Week)紙のケビン・タウンゼント(Kevin Townsend)氏が伝えるところによれば、「ノーモア・ランサム」(No More Ransom)と命名されたこの取り組みは、被害者に対する情報提供と、犯罪者に身代金の支払いをせずにデータが復旧できるような支援の提供を目指している。

ESETのシニアリサーチフェローであるデイヴィド・ハーレー(David Harley)は、すでにこれまでもセキュリティ情報交換組織「AVIEN」(Anti-Virus Information Exchange Network)のブログ上に、ランサムウェア技術サポート詐欺についての情報を提供しているが、「ノーモア・ランサム」についての論評も行っている。

その後、タウンゼント氏は「マルウェアバイト」(Malwarebytes)紙による委託研究に基づいた別の記事において、昨年、39%の企業がランサムウェアの被害を受け、そのうち40%がデータを取り戻すために金銭の支払いを行っている、と指摘している。

彼は「被害企業の40%が身代金を払った」ことを受けて、「多くのAV(アンチウイルス)企業が、暗号解除の鍵がなくては復旧の可能性は極めて低いと言う。FBIは企業が誤った判断をする危険があるとし、ユーロポールは端的に「支払うな」と言う。なかでもこの、ユーロポールの指針は、はたして現実的なのかどうか、疑わしい」と述べている。

こうした疑問に関する反応についての概要は、タウンゼント氏の記事で読むことができる。マルウェアバイツ社のセキュリティ専門家であるジェローム・セグラ(Jérôme Segura)氏やWeLiveSecurityの寄稿者であるグラハム・クルーリー(Graham Cluley)氏のコメントもその記事で読むことができる。以下では、ハーレーの見解を提示しておこう。

「簡潔に言えば、もしも身代金を払ったならば、犯罪に直接貢献してしまう、ということである。多くの場合、どういった対応をするのかは、純粋に経済的な理由によって決定されている。つまり、データを失うくらいなら、支払った方が安上がりである。だがこれは言い方を変えれば、ゆすりやたかりを行う犯罪者に生活の糧を提供している、ということでもあることに注意しなければならない。

反対に、もしも金銭を支払わなければ、データを取り戻すことができない。時には、無料の復号ツールが使えることもあるが、多くの場合、セキュリティ業界から復号ツールが提供されることはない。そのため、おそらく被害は甚大になり、ビジネスも続けられなくなってしまう。

もしも個人や企業・組織が、データを失うことによる財政上のダメージよりも金銭を支払うことを選んだとしても、責められはしない。ナイフで脅してきた相手に財布を渡した人を責めるのと同様である」

確かに個人あるいは企業・組織が金銭を支払わなければ、ランサムウェアの攻撃は経済的には意味がなくなる。犯罪自体がなくなることはないとしても、犯罪者たちは別の攻撃手法を模索せざるを得なくなる。それは場合によってはかえって、厄介な結果になることもありうる。

しかし、データをあらかじめ防御できるような人はいないために、経済的な利益を得ようとしてこうした攻撃は続けられる。適切な防御を実施するための知識や技術を持っている人にとっては、身代金の要求に応えるのを「間違っている」と言うのは簡単なことだが、実際には多くのコメンテーターが指摘するほど簡単なことではない。

もちろん企業・組織においては「支払わない」という防御策も取り入れてほしい。実際そうした策を採用するかしないかは攻撃の実行可能性に影響を及ぼすことだろう。もしもバックアップ戦略に費用を支払うよりも身代金を払った方が安く済むのであれば、支払わない方が非難されるはずだ。どれだけの頻度でそれが起こるのかは分からないが、バックアップの実践は結局のところ、ランサムウェアだけではなく、あらゆる攻撃に対して防御を可能とするという点を見落としてほしくない。

時々、バックアップをしているにもかかわらず、安く済むからといって組織が身代金を払った例を耳にすることがある。それは無責任である(疑いなく犯罪行為を支えることになるからだ)だけではなく、その組織が実行しているバックアップ戦略に対して非常に大きな間違いを犯していると言える。使用する余地がない抑止力は、実際に用いられることも少ないからだ。

大半のセキュリティブロガーは、個人や事業者に身代金を払ってはならないとアドバイスするだろう。例えば「セキュリティウィーク」紙も、他の記事で言及されているように、ユーロポールと同様の見解をとっている。

もし自分自身のビジネスデータが危機に瀕しているなら、あるいは個人データ、例えば、どんなことをしても二度と手に入れられないような写真であれば、異なる選択肢を選ぶかもしれない。しかし、そうした強硬な見解に対する反応はその後、少々軟化しているようにも見受けられる。マーティジン・グローテン(Martijn Grooten)氏は代表的な第三者テスト機関の一つである「ウイルスブリテン」(Virus Bulletin)誌で次のように指摘している。

「……身代金の支払いは最終的な解決手段であるべきだが、時々、唯一の残された賢明なビジネス上の決断は、犯罪者たちに支払うことであることもある……」

こうした発言は、ある程度共感できる。ロシアのセキュリティベンダー、カスペルスキー社のセキュリティ専門家であるライアン・ナレイン(Ryan Naraine)氏も、こうした見解を認める方向に変わってきている。彼も「ランサムウェアの次なる犠牲となるのを避ける方法」という記事の中で、幾つかの研究機関がランサムウェア対策のためのセキュリティにリソースを割くのにどれほど困難を覚えているか、単純にビジネスを継続するためにランサムウェアのインシデントの後に支払う以外の方法がないかについて、明らかにしている。特にそこでは医薬業界のIT管理者に言及して、次のように彼は述べている。

「私たちにはもう、使えるコンピューターがありません。バックアップも全て暗号化されています。絶望的な状況です。約8万円(=800ドル)を支払うか、数十万円(=数千ドル)をかけてシステムを再建し、データの復旧を目指すのか。実際には、身代金を払う以外に選択肢はありません」

このような事例の中で、組織は法定義務を履行するだけではなく、サービスを利用するユーザーに対する注意義務を持っていることを指摘するのは価値あることだ。万が一データ保護に失敗した場合には、失敗が技術力の不足なのか人為的なミスなのかにまで追求されることはさておき、それらのデータを復旧する方法がほかにない場合には、ユーザーへの注意義務は、ユーロポールが強調する原則論には収まらなくなる(はずだ)。

もちろん、医薬業界に限らず、個人に深刻な影響を及ぼす摩擦が生じる領域は多々ある。とはいえ医薬業界組織は過去1年にわたり、激しく、かつ公然と、ランサムウェアに襲われてきたことは疑いない。

だからこそ、前述のアドバイスを繰り返しておこう。わずかな予防(そしてバックアップ)でも、大量のビットコインと同等の価値がある。犯罪者たちは、技術を悪用したりソーシャルエンジニアリングを利用することに慣れているばかりか、身代金を支払ったとしても、いつもデータが取り戻せるとは限らない。これは、断固として身代金の支払いを拒絶する立場をとっているFBIが指摘している通りである。

FBIは、ランサムウェアのリスクを減らすヒント集もいくつか提供している。これは個人にも企業組織のユーザーにも役に立ち、ランサムウェア以外の攻撃リスクも減らせることだろう。それ以外にアドバイスがあるとすれば、やはり、繰り返すが、安全に気を付けながらバックアップを行い、特に、バックアップに使用しているコンピューターやネットワークに接続させないようにすることである。バックアップデータもまたランサムウェアによって暗号化されるという強力なリスクを伴うため、定期的にまたは恒常的にはアクセスしないようにするべきだろう。

この記事をシェア

ランサムウェアのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!