ランサムウェア攻撃は、企業や組織から窃取した重要な情報を世の中に公開しない代わりに、身代金を払うよう要求する攻撃です。
近年、ランサムウェアに感染し、攻撃者の要求に応じて身代金を支払うケースが世界的に増えています。大手サイバーセキュリティ会社の年次レポートでは、ランサムウェアに感染した組織の身代金支払い率の国別比較が報告されています。同レポートによると、2020年にランサムウェアに感染した組織のうち、アメリカで約87%、イギリスで約59%、日本で約33%が身代金を支払っていることがわかりました。
ランサムウェアの身代金を払うべきか否か、また身代金を支払った場合に何が起こるのかについて、事例を交えて紹介します
目次
ランサムウェアで要求される身代金は支払うべきか
IT専門の公式機関が発表する文書によると、一般的には攻撃者に対しては、身代金を支払うべきではないとしています。
理由は以下の3点です。
理由1:身代金が攻撃者の資本源(収入源)となってしまう
身代金が攻撃者の生活資金となるだけでなく、さらなるランサムウェアの作成資金になる可能性があり、新たな被害発生のおそれがあります。
理由2:攻撃者が同種の犯罪を続けるモチベーションになりえる
身代金の支払いに応じてしまうと、攻撃者がその成功体験から、また別のシステムに対して同様の攻撃を行うモチベーションになってしまう可能性があります。
理由3:データが公開されない保証はなく、さらに金銭を要求される可能性もある
たとえ要求どおりに身代金を支払ったとしても、データが外部に流出する可能性は残ります。また、さらに金銭を要求される危険性もあります。窃取された情報を公開するか否かは攻撃者側が主導権を握っているため、身代金を支払っても本当に攻撃をやめるかどうかの保証がありません。
世界での身代金要求に対する対処方法は?
ランサムウェア攻撃の身代金要求に対する対処方法はさまざまです。
ランサムウェアに感染した組織はどのように対処しているのか、支払ったあとに何が起こるのか、また、身代金を支払うことに対するリスクを解説します。
ランサムウェアに感染した組織は身代金を支払っているのか
実際に攻撃を受けた世界の企業では、どのように対処しているのでしょうか?
冒頭でも紹介したとおり、大手サイバーセキュリティ会社のレポートでは、ランサムウェアに感染した組織の身代金支払い率はアメリカで約87%、イギリスでは約59%と高い一方で、日本は約33%と比較的低い状況です。
日本では教科書的な対処で乗りきっているのに対して、特にアメリカでは現実的な判断で支払っているケースがあるようです。海外での具体的な事例は後半で紹介します。
身代金を支払ったあと何が起こるのか
上述の大手サイバーセキュリティ会社のレポートには、身代金支払いの結果の国別比較も掲載されています。同レポートによると、初回の身代金の支払い後は、約束どおりに攻撃者がデータやシステムへのアクセスを回復させているケースが多いようです。
しかし、初回の支払いでは復旧せず、追加的な身代金を要求されるケースも存在し、再度支払うことによりデータやシステムを回復したケースもあります。
また、割合としては少ないものの、身代金を支払った後もデータが回復しなかったというケースもあります。
身代金を支払うことに対する3つのリスク
上述のとおり、身代金を支払っても、必ずしも問題が解決するとはかぎりません。身代金を支払うことにはリスクがあるのです。主なリスクを3つ紹介します。
データやシステムが復旧しない場合がある
ひとつ目は、身代金を支払っても、データやシステムが復旧しない場合があることです。データやシステムの主導権を握っているのは攻撃者であるため、復旧するか否かは攻撃者の気分次第なのです。
部分的にしか復旧されない場合がある
ふたつ目は、一見データが復旧したように見えたとしても、部分的にしか復旧されていない可能性があることです。ランサムウェアがシステムに対してさまざまな悪さをすることは考えられていますが、攻撃者が復旧プログラムまでを用意していることはほとんどないと考えられます。そのため、たとえランサムウェアの削除やOSの設定を戻したとしても、感染前の健全な状態になっている保証はありません。
セキュリティホールを残される可能性がある
三つ目は、将来的に悪用される可能性のあるセキュリティホールを残してしまう危険性があることです。攻撃者はその場から離れるように見せて安心させておきながら、この先またシステムに侵入できるようにセキュリティホールを残すといった手口も考えられます。
なぜ身代金を支払ってしまうのか
身代金を払うことのリスクがあるにもかかわらず、なぜ身代金を払うといった選択がこれまでなされてきたのでしょうか?
実際に身代金を払ったふたつの事例で、判断の理由を見てみましょう。
事例1:オランダの大学
2019年12月にオランダの大学機関に対してランサムウェア攻撃が行われました。被害にあった大学は 30 ビットコイン( 22 万ドル相当)を攻撃者へ支払い、その結果無事にシステムが復旧しました。
「研究等のデータを失い、試験や給与支払いを遅延させながら、侵害されたすべてのシステムを再構築するという事態を避けるため」の決断だったとしています。
事例2:アメリカの病院
2016年2月、アメリカの病院に対してランサムウェア攻撃が発生しました。ファイルを暗号化して、暗号解除の鍵と引き換えに身代金を要求するといった内容でした。要求額は40ビットコイン(1万7,000ドル相当)でした。
同病院は、「もっとも手早く、もっとも効率的にシステムや管理機能を復旧させる手段は、身代金を払って暗号解除の鍵を入手すること。正常な業務を復旧させることが最善と判断し、それを実行した」と説明しています。
ランサムウェアへの対策方法
ランサムウェアの身代金要求への対応について見てきましたが、身代金を払うか否かの選択を迫られる状況に陥らないためにも、ランサムウェアの感染対策が重要になります。
ランサムウェアの対策については、「ランサムウェアとは?流行している種類や対策、感染時の対応も解説」で詳しく解説しています。ぜひご一読ください。
対策1:セキュリティソフトの導入
感染対策の基本はセキュリティソフトの導入です。
マルウェアやハッキングツールなどを使ってネットワークへ侵入し、データを盗んだあとにランサムウェアによりファイルを暗号化する手口が確認されています。ウイルス対策ソフトを導入し、セキュリティパッチで常に最新の状態に保つことで、マルウェアやハッキングツールなどを利用されるリスクを減らすことが可能です。
特に近年は、社員一人ひとりがスマートフォンやパソコンを使って仕事をしているため、端末から攻撃を受ける可能性が高まっています。そのため、端末(エンドポイント)でのセキュリティ対策が重要です。
エンドポイントへのセキュリティ被害の可能性を低減したい方は、「Webroot® Business Endpoint Protection」をご覧ください。
対策2:不審な電子メールを開かない
攻撃者は、メールの受信者の関心を引くような内容や、重要だと思わせるような内容のメールを送信します。受信者が添付ファイルを開く、または、本文に貼られたリンクをクリックすることにより、ランサムウェアに感染するという事例が発生しています。
そのため、添付ファイルやリンクが貼られているメールについては、不用意に添付ファイルを開いたり、リンク先にアクセスしたりしないことが重要です。
対策3:データのバックアップ(サイバーレジリエンス)
ランサムウェアの手口が巧妙になっているため、完全に感染を防ぐことは困難です。そのため、サイバーレジリエンスと呼ばれる考え方も必要になります。サイバーレジリエンスとは、サイバー攻撃を受けた場合のことを想定して、たとえ攻撃を受けてもすぐに正常な状態に戻す仕組みや考えのことを指します。データのバックアップを取ることは、復旧を早めることにつながるため、サイバーレジリエンスの手段のひとつといえるでしょう。
サイバーレジリエンスについては、「サイバーレジリエンスとは?その導入ポイントや必要な機能について解説!」で詳しく解説しています。ぜひご一読ください。
なお、ウェブルートでは、サイバー攻撃を受けた際に早期復旧の実現をサポートする、バックアップ保護の機能を備えた製品「Carbonite® Endpoint」や「Carbonite® Backup For Microsoft 365」を提供しています。
ランサムウェアに対するセキュリティ対策が重要
ランサムウェア攻撃の身代金は支払うべきではありません。しかし、総合的な判断のうえで支払いに応じるケースも多く、世界でも、身代金を支払っている事例が散見されます。
このような事態に陥らないためにも、ランサムウェア攻撃に対するセキュリティ対策が重要です。セキュリティソフトの導入、電子メールに添付された不審なファイルやリンクを開かない、定期的にデータのバックアップを取るなどのセキュリティ対策を必ず講じましょう。