ランサムウェアに身代金を要求される場合を考える–ガートナーの専門家

今回は「ランサムウェアに身代金を要求される場合を考える–ガートナーの専門家」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　国内で多発するランサムウェア被害の対応では、しばしば「身代金を支払い、事態を収束すべき」という意見が聞かれるが、何の保証もない。ガートナージャパンが開催した「セキュリティ＆リスク・マネジメント サミット 2024」では、バイスプレジデントでインフラセキュリティ領域のアナリストを務めるChris Silva氏が、身代金とランサムウェア対策をテーマに講演。同氏に企業や組織がなすべき取り組みなどを尋ねた。

　ランサムウェアの攻撃と被害が多発しているのは、攻撃者の要求に応じて被害者が身代金を支払うからだとされる。攻撃者の金銭目的が達成され、犯罪ビジネスとしても確立されたことから、その脅威が収まる兆しは見えない。ランサムウェアの流行当初には、「身代金の支払いは結果として犯罪に加担するので応じるべきではない」という見解が主流だった。現在も表向きは同様だが、身代金を支払う被害者が多いかもしれない。

　Silva氏は、「身代金を支払うべきか否かは、既に過去の議論だ。支払ったかどうかを公表する被害者はほとんどいないので、だれも実態は分からないだろう。ただ、各種のデータで、一度でも支払い応じるとその後も繰り返し要求され、要求の度に金額が膨らむ傾向にあるという事実が明るみになっている」と指摘する。

　米Cybereasonの調査によると、身代金を支払った被害組織が再度攻撃を受けたケースは80％に上り、以前の攻撃時より要求額が増えたというケースは68％だった。同じ攻撃者に繰り返し攻撃された被害組織は36％だった。

　また、Veeam Softwareの調査によれば、身代金を支払ってもデータを復旧できなかったケースは24％で、身代金を支払うことなくデータを復旧できたケースも13％しかなかった。こうしたデータから言えるのは、身代金を支払ったところでデータの復旧が保証されるわけではないという事実だ。

　企業や組織から相談を受けるSilva氏は、今では身代金の支払いについて助言しないようにしていると話す。「支払うべきか否かは、企業のその時々の置かれた状況で全く違う。例えば、同じ小売企業でも被害が商戦期か閑散期かで支払いの判断が異なる。支払うかどうかは、個々の被害者の事情としか言えない。それよりも、身代金を要求される場合に備えた対策を講じるべきだ」（Silva氏）

　Silva氏は、ランサムウェア被害に備える上で、（1）ベースラインを守る、（2）状況の変化を正しく理解する、（3）組織と人を訓練する――の3つが重要だと説く。

　（1）では、まず組織が攻撃から守るべき対象を明確にして、自社の環境が守れる状態にあるかどうかを正しく把握する。（2）では、例えば、オフィスワーク中心からリモートワーク拡大への変化の状況を理解し、セキュリティ対策の内容を変化に合わせていくといったことになる。

　Silva氏は、「ランサムウェアの攻撃者はとても賢い」と話す。身代金を得るために被害者にとって最大の弱点をさまざまな手段で突いてくる。

　例えば、多くの個人情報を保有する企業を狙う場合、被害企業では個人情報が社外に漏えいすれば、多くの関係者に影響が及ぶだけでなく風評や社会的な信用も失い、企業の存亡に関わる事態に陥りかねないため、攻撃者は個人情報を窃取してダークウェブへの暴露をちらつかせる。他方で、フィンランドの精神科病院が狙われたケースでは、病院がクラウドに保存している診療記録を攻撃者が窃取し、攻撃者は病院だけではなく患者にも脅迫したという。

　「端末のセキュリティ対策状態からデータの実情、設定などにミスがないか、ビジネスへの影響の評価が正しいかなど自社の状況を把握し、ベースラインとして保護しないといけない」とSilva氏は指摘する。

　また、「『当社の対策状況はこの水準だが、問題ないか』といった相談も受ける。企業は幾つものメトリクスで状況を判断しようとするが、それでは不十分だ。仮にオフィス外にある1台の端末の対策に不備があれば、それが大きな被害をもたらす可能性もある。メトリクスは大事だが、何がリスクであり、リスクを顕在化させないよう適切にコントロールできているかが肝心だ」とも助言する。

　（3）は、火災を想定した避難訓練のように、インデント発生時に組織や個々人が適切に対応できるよう普段から訓練や演習を通じて慣れておくことだ。Silva氏は、緊急時に冷静な行動をとれるかが肝心だと話す。

　「私の近所にあるセキュリティオペレーション訓練センターの担当者が話したことだが、不慣れな一般的な企業は有事に慌て、防衛や警察といった組織は日頃の訓練で適切に対応する。有事の際に自組織がどのような反応を示すかを把握することがとても大切になる有事に備える訓練を継続することが重要だ。いざという時に、誰もが自分の役割を理解し、迷うことなく行動できる」

　Silva氏によれば、ここ数年は、企業や組織でエンドポイントやアイデンティティーなどを狙う脅威を検知して対応を支援するEDRやITDRといったセキュリティ技術の導入が進み、ランサムウェア攻撃に遭遇しても被害を回避しているケースが増えているという。

　ランサムウェアの脅威を削ぐ良い傾向に映るが、Silva氏は「EDRなどのソリューションを導入すれば済むわけではない。運用にはコストも労力も必要で、それを踏まえて適切に運用し続けなければ効果を維持できない」と指摘する。

　ランサムウェアへの対策が進み、サイバー攻撃者がランサムウェアを使わなくなったとしても、目的を達成するためには生成AIなどの技術を悪用して新たな攻撃手法を開発してくるという。Silva氏は、ランサムウェアに限らず、技術的な対策を活用して（1）や（2）適切に実施することで安全を確保し、（3）によって万一の有事にも冷静かつ着実に対応する、セキュリティ対策の基本の徹底こそが肝心だと述べている。