RaaS 身代金は支払うべきか

「攻撃者は反社会的勢力であり、もしくはテロ組織の資金源になる可能性が高いため身代金の支払いは行わない。」(国連安保理決議1989、G7伊勢志摩首脳宣言)
身代金に対する政府の見解は、この宣言に集約されている。また、金融機関は身代金の支払いがマネーロンダリングとみなされるため、支払いを拒絶することが知られている。翻って、会員企業がランサムウェアの被害にあった場合、どのように考えるべきか、身代金の支払いの実態を共有する。

ランサムウェアに感染した組織の支払い率

プルーフポイント社の調査では、ランサムウェアに感染したそふぃきの身代金の支払い率は以下のとおりである。

出典:日本プルーフポイント ブログ:『身代金を支払うのは正解か? ー ランサムウェア支払い結果7か国比較から考えるサイバー犯罪エコシステムへの対処』https://www.proofpoint.com/jp/blog/threat-insight/is-it-right-to-pay-the-ransom#

米国の支払い率は87%と極めて高く、それに対して日本は33%と最も少ない。逆に7割近くの組織は身代金を支払っていない。米国の場合、地方自治体、病院、社会インフラが狙われるケースが多く、社会機能を維持するために支払いに応じるということと、多くがIT保険に加入しており、実害が少ないという背景も見逃せない。一方で、被害額が米国に次いで大きいフランスでは、政府の要請を受け大手保険会社であるAXAが、フランス国内での顧客がサイバー犯罪者に支払った身代金を補償する契約を停止することを表明している。

身代金の支払いの結果

果たして身代金を支払った場合、無事にデータは復号化されるのであろうか。危機に直面した経営者は真っ先にこのことを考えるに違いないだろう。支払い後の実態は以下のとおりである。

出典:日本プルーフポイント ブログ:『身代金を支払うのは正解か? ー ランサムウェア支払い結果7か国比較から考えるサイバー犯罪エコシステムへの対処』https://www.proofpoint.com/jp/blog/threat-insight/is-it-right-to-pay-the-ransom#

フランスは78%が回復しており、米国は、76%が支払い後に回復している。また、フランス、ドイツでは、支払いにもかかわらず5%がデータを回復できない状態にある。

日本は45%が回復しているが、44%は支払い後に暴露脅迫を受け、再度身代金を支払う羽目にあっている。つまり、システムやデスクトップのの暗号化に加え、個人情報や営業情報を抜き取られている訳である。このことから、長期に侵入され企業が身代金を払う ”価値のある情報” を選別され窃取している可能性が高いと思われる。

支払いの考え方

以下に、交通ISACとSoftware ISACでランサムウェアに対する対処を整理した際の資料を示す。

作成協力:交通ISAC、PwC 丸山満彦氏

攻撃側は様々な手法を用いて組織の情報資産を入手し、脅迫を行う。この場合、影響範囲がステークホルダーや組織内に限られ、事業の影響も大きくないといった場合は、支払いの拒絶が妥当である。そもそも、反社会的勢力に金銭を支払うことは重大なコンプライアンス違反となり、支払いを行うことで経営陣は責任を追及される可能性が高い。セキュリティ違反が起きるという事は経営陣が従業員に対して適切な監督をしていなかった証左であり、使用者責任(不法行為)を問われても仕方がないといえる。

一方で、影響範囲が社会に及び、事業影響が甚大、人命被害も予想される場合、支払いの拒絶は極めて困難な判断となる。このように、個人の生命について差し迫った脅威が現実にある場合で、解決方法がそれ以外にはない場合は、把握できている現状と予見できる事態を警察と監督官庁に報告し、相談するべきである。その上で、事業者としての決断をするべきである。

なお、支払いに応じた場合、次の攻撃が免除されるというものではない。攻撃側は ①被害者のネットワーク、資格情報、セキュリティ設定について知悉していると考えるべきであり、②これらの情報が闇サイト等で情報が交換・売買されている可能性を否定できない。となれば、システムの復号に併せて可及的かつ速やかにセキュリティの強化構成を実施する必要がある。 

謝辞

本稿作成には、以下の方々のご協力を得ました。ここに感謝申し上げます。

  • 一般社団法人交通ISAC
  • PwC パートナー 丸山満彦氏
  • 日本プルーフポイント株式会社