ランサムウェア攻撃を受けたら、あなたの会社は身代金を支払うべきかGartner Insights Pickup(236)

ランサムウェア攻撃を受けたら、あなたの会社はどうするか。データを取り戻すために身代金を支払うべきか。難しい判断を迫られるが、準備が物を言う。

» 2021年12月10日 05時00分 公開
[Susan Moore, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

 2021年5月、Colonial Pipelineはハッカーに440万ドルの身代金を支払って復号ツールを入手し、これによってシステムを復旧して石油パイプラインの操業を再開した。FBI(連邦捜査局)や国土安全保障省は、身代金を支払わないよう企業に勧告してきたが、これに反してのことだった。

 Colonial PipelineのCEO(最高経営責任者)は後に米国議会で、「ランサムウェア攻撃の影響で米国内の燃料供給に支障を来したことから、身代金の支払いに踏み切った」と証言した。ただし、この解決策は依然として物議を醸している。

 このインシデントは次の問題を提起している。「ランサムウェア攻撃を受けた場合、あなたの会社はどうするのか」「データを取り戻したり、システムを復旧したりするために、身代金を支払うのか、支払うべきなのか」

 「身代金を支払うかどうかは難しい判断だ。この判断は、セキュリティとリスク管理のリーダーではなく、取締役会レベルで慎重に行わなければならない」と、Gartnerのアナリストでシニアディレクターの、マーク・ハリス(Mark Harris)氏は語る。

 「身代金を支払うとどうなるのかを理解することが、この判断を下す上で重要だ」(ハリス氏)

身代金を支払うとどうなるのか

 理屈の上では、企業が身代金を支払えば攻撃者は復号ツールを提供し、「盗んだデータを公開する」と脅すのをやめるはずだ。だが、身代金を支払ったからといって、全てのデータが元に戻る保証はない。経営幹部は、ランサムウェア攻撃の次のような実態を慎重に考慮する必要がある。

  • 復元できるデータの割合は平均65%にとどまる。全てのデータを取り戻せる企業は全体の8%にすぎない
  • 暗号化されたファイルは、復元できないことが多い。攻撃者から提供された復号ツールはクラッシュしたり、不具合が発生したりすることがある。攻撃者から提供されたツールからキーを抽出し、新たに復号ツールを開発しなければならない場合もある
  • データの復元に数週間かかることもある。大量のデータが暗号化された場合は特にそうだ
  • ハッカーは、盗んだデータを削除するとは限らない。盗んだデータに価値があれば、後で販売したり、公開したりするかもしれない

ランサムウェアの現実

 ランサムウェア攻撃は、サイバー犯罪者にとっては持続可能で収益性の高いビジネスモデルであり、テクノロジーを使う全ての企業にとって脅威だ。多くの場合、バックアップからデータやシステムを復元するよりも、身代金を支払う方が簡単で安上がりだ。だが、それは攻撃者のビジネスモデルを支えることであり、さらなるランサムウェア攻撃につながってしまう。

 法執行機関は、身代金を支払わないことを推奨している。身代金を支払うことは、犯罪の継続を助長するからだ。ときには、身代金の支払いが違法になる場合もあるかもしれない。犯罪に資金を提供することになるからだ。

 Gartnerは、攻撃者と交渉する前に、専門のインシデントレスポンスチームや法執行機関、規制当局に相談することを勧めている。

今から備える

 企業はランサムウェア攻撃を100%防ぐことはできない。企業にできる最良の対策は、ランサムウェア攻撃を受けることを前提に、迅速な対応を可能にする計画を策定、実行することだ。

 この計画には、攻撃を受けたときに起こる事態を想定した実施訓練の実施が含まれる。これにより、予想外の問題領域が明らかになるかもしれない。例えば、ある企業では、攻撃に関するプレスリリースの作成に予想よりもはるかに長い時間がかかることが分かった。このプレスリリースを、前もって作成しておく必要があることは明白だった。

 全ての主要業務でバックアップを強化し、復元をテストすることも重要だ。バックアップが適切に行われていれば、復元にかかるコストは、不確かな結果のために身代金を支払うより常に低く抑えられる。

 「残念ながら、ほとんどの企業は、ランサムウェア攻撃を受けて初めて復元をテストする」(ハリス氏)

 さらに、経営幹部がランサムウェア攻撃について十分な説明を受け、意思決定に関与している必要がある。経営幹部は、この攻撃のリスクへの理解を深めるほど、対処について意思決定をする準備や、追及を受けた場合に正当性を主張する準備を、より適切に行える。

 ランサムウェア攻撃は、ビジネス上の意思決定の対象として扱わなければならない。この問題が全社的に可視化されていれば、攻撃を受けても、想定外のことは少なくなる。そうなれば、対処するための全ての行動がスムーズに進む。その中には、身代金を支払うべきかどうかを判断することも含まれる。

出典:When it Comes to Ransomware, Should Your Company Pay?(Gartner)

筆者 Susan Moore

Director, Public Relations


Copyright © ITmedia, Inc. All Rights Reserved.

@IT

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。