ランサムウェア犯も失敗したくない ホワイトハッカーが明かす“身代金ビジネス”の実態:【動画あり】
ランサムウェア被害企業は「支払うか、拒否するか」という難しい判断を迫られるが、その交渉の舞台裏では、被害企業だけでなく攻撃者側にも見逃せない事情がある。ホワイトハッカーが解説する“攻撃者の論理”を知れば、インシデント対応の見方が変わるかもしれない。
今日のサイバーセキュリティにおいて、ランサムウェアは犯罪者にとって極めて収益性の高いビジネスだ。攻撃ツールを開発してアフィリエイター(攻撃の実行役)に提供する「Ransomware as a Service」(RaaS)や侵入経路を提供するイニシャルアクセスブローカー(IAB)など多様な役割があるエコシステムも確立され、その市場は拡大傾向にある。
こうした状況でランサムウェア攻撃を完全に防ぐのは困難になりつつあるが、万が一被害に遭ったときに多くの企業が直面するのが「身代金を支払うべきか、それとも拒否すべきか」という難しい判断だ。犯罪組織への資金提供は避けるべきだという考え方がある一方、基幹システムの停止や生産ラインの停止、顧客向けサービスの中断など、事業継続に深刻な影響が及ぶ状況では、現実的な選択を迫られるケースも多いだろう。
アイティメディアが運営する「TechLIVE」では、攻撃者視点の理解を深める番組『攻撃者の目』を公開している。
最新回では現役ホワイトハッカーをゲストに迎え、ランサムウェアグループとの交渉が発生したときに企業は何を考え、どのような判断を下すべきなのかを解説する。攻撃者は何を狙い、どのような材料を基に身代金額を決めるのか。さらに、交渉の場で企業が陥りやすい失敗や、攻撃者との駆け引きの実態にも踏み込む。
ランサムウェア対策というと、侵入防止や検知・防御の技術に注目が集まりがちだ。しかし実際には、被害発生後の対応方針や意思決定も事業継続を左右する重要な要素となる。万が一の事態に備え、攻撃者の論理や交渉の実態を理解しておくことは、企業の危機管理能力を高めることにもつながるだろう。ぜひ下記から動画を確認してほしい。
「支払うな」が正論でも、企業が身代金交渉に向き合わざるを得ない理由
各国政府や国際機関はランサムウェアへの対抗姿勢を強めている。米国財務省外国資産管理室(OFAC)は、制裁対象となっている組織や個人に資金が渡る可能性がある場合、身代金支払いが法的リスクにつながる可能性があると警告している。
こうした背景から、国際社会では「身代金を支払わないことで攻撃者の利益を断つべきだ」という考え方が広がっている。ただ、現実の企業経営はそれほど単純ではない。ランサムウェア被害を受けた企業の中には、事業継続を優先して支払いを検討したケースが一定数存在する。
日本では現時点で身代金支払いそのものを一律に禁止する制度は存在しない。しかし支払いが判明した場合、取引先や顧客から説明責任を求められたり、社会的な批判を受けたりする可能性があるだろう。
経営層やセキュリティ担当者は「支払わないべきだ」という原則論と、「事業停止による損失をどう抑えるか」という現実論の間で難しい判断を迫られているのだ。
攻撃者も交渉を失敗したくない――ランサムウェア交渉の知られざる駆け引き
ランサムウェア被害に遭った企業の多くは、「攻撃者に主導権を握られている」と感じるかもしれない。しかし実際には、攻撃者側にも事情がある。
ランサムウェアは犯罪ビジネスである以上、攻撃者にとって最も重要なのは収益だ。交渉が決裂すれば、侵入や横展開、情報窃取などに費やした時間やコストを回収できなくなる。
そのため攻撃者は、標的企業の規模や売上高、事業内容などを調査し、場合によってはサイバー保険の加入状況なども参考にしながら、「支払いに応じる可能性が高い」と考えられる金額を提示する。
また近年では、いきなり高額な身代金を要求するだけでなく、交渉に応じる姿勢を見せたり、値下げに応じたりするケースも報告されている。こうした行動は攻撃者が“善意”を持っているからではなく、あくまで交渉成立によって利益を確保したいというビジネスの合理性によるものだ。
番組ではこうした攻撃者の思考や行動原理についても解説している。
身代金交渉の前に勝負は決まる? 攻撃者が最も嫌がる備えとは
そして最も重要なのは、交渉が始まってから対応を考えるのではなく、その前の準備である。
多くのランサムウェア攻撃では、暗号化の前にネットワーク内部の調査や権限昇格、重要データの探索が実施される。攻撃者はバックアップ環境を特定し、復旧手段を奪おうとするケースも多い。
そのため、オフライン環境や論理的に隔離されたバックアップ、イミュータブルなバックアップなどを適切に整備しておくことは、被害発生時の重要な交渉材料となる。復旧の見通しが持てれば、攻撃者からの圧力に左右されにくくなるからだ。
ただし、バックアップだけで全ての問題が解決するわけではない。近年はデータを暗号化するだけでなく、事前に機密情報を窃取し、公開をちらつかせて脅迫する「二重脅迫」が主流となっている。システムを復旧できても、情報漏えいへの対応や顧客説明は避けられない場合がある。
だからこそ企業には、「支払うか、支払わないか」という二択だけではなく、事前の備え、被害発生時の意思決定プロセス、外部専門家との連携体制まで含めた総合的な準備が求められる。
サイバー攻撃との戦いは、技術だけの問題ではない。攻撃者がどのように利益を得ようとしているのか、その論理を理解することは、被害発生時の判断力を高めることにもつながる。
ランサムウェア攻撃の現場では実際にどのような駆け引きがあるのか。被害企業と攻撃者の間で交わされる交渉の実態を知ることは、自社の備えを見直すきっかけになるはずだ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「ランサムウェア」侵入手順を徹底解説 もう知ったかぶりからは卒業しよう
“ランサムウェア”と聞くと、ある日突然データが暗号化されると思いがちだ。しかし攻撃者は、そのはるか前から静かに侵入し、社内を調査し、重要データを探し出している。泥棒の犯行になぞらえながら、ランサムウェア攻撃の全体像を分かりやすく解説しよう。
パスキー神話崩壊 Google Password Managerの同期機能を狙う新攻撃手法
パスワードに代わる認証手段として普及が進むパスキー。しかし、研究者が公表した新たな攻撃手法は、その安全性を支える“別の仕組み”に着目していた。暗号技術そのものを破らず、Google Password Manager利用者の認証情報に到達する手法とは。
インシデント0件は良いニュースとは限らない? 報告の質をちょい上げするコツ
インシデント発生件数0件――多くの企業で「良いニュース」として受け止められる数字です。しかし、その結果を手放しで喜んでよいとは限りません。攻撃を防いだからゼロだったのか、そもそも見えていなかったのか。その違いは報告書からは見えません。見落としがちな“ゼロの意味”と、報告の質を高めるヒントを紹介します。
パッチ適用後も標的に? 32万台超のFortiGateを襲った「FortiBleed」の正体
FortiGateを狙った大規模な認証情報収集キャンペーンの存在が明らかになった。対象となった機器は32万台超。その中には比較的新しい更新プログラムが適用された装置も含まれていたという。攻撃者は何を狙い、どのように侵入経路を確保していたのか。
世界中のWebサーバが影響 Apacheが危険な脆弱性を一斉修正
Apache HTTP Serverに大規模な修正が入った。最新版ではHTTP/2処理をはじめ、プロキシやSSL、認証機能など広範囲に及ぶ脆弱性に対処している。サービス停止やメモリ破壊につながる恐れがある問題も含まれていたため急ぎ修正してほしい。