ランサムウエア攻撃を受けた企業はどうすべきか 身代金の額は平均200万ドル…国際ハッカー対策の最前線
身代金を支払うという選択
国内大手メディア企業であるKADOKAWAが、大規模なランサムウエア(身代金要求型ウイルス)攻撃を受けて話題になったのは記憶に新しい。
【写真】有名、中小を問わず、ハッカーはあらゆる企業や団体を狙っている
長くサイバーセキュリティの取材をしている筆者のもとには、最近になって日本でも頻発している、ランサムウエア被害に遭った企業の話がもたらされることが少なくない。例えば、京都府のある中小企業はランサムウエア攻撃を受け、警察のアドバイスにしたがって交渉は断念し、自力で復旧するのに5000万円以上がかかったと嘆いていた。企業によっては、ランサムウエア一発で会社が傾く可能性もある。
こうした実態を知れば、被害企業には身代金を支払うという選択肢があってもいいのではないだろうかと思ってしまう。ランサムウエア攻撃によって会社や組織のシステムが停止してしまい、業務が遂行できなくなれば、一刻一刻、損失を生むことになる。すぐに復旧することが会社にとって何よりも重要なら、身代金を払ってしまいたくなるのも理解できる。
さらに、ほとんどの事例で社内のデータや文書などが盗まれてしまっている。身代金を支払えば貴重な内部データが暴露されてしまう可能性は低くなる。企業にとって、どのような対処が理想的なのか、改めて考えてみたい。
KADOKAWAの事件では、子会社のドワンゴが運営するニコニコ動画や、書籍を刊行する出版部門などのシステムが暗号化され、停止してしまった。さらにランサムウエアに感染させられたときに、内部データも大量に盗まれ、部外秘の資料も大量に流出した。
ランサムウエア攻撃は、2016~17年頃から世界的に大きな被害が確認されるようになったサイバー攻撃のひとつだが、各国の政府機関や企業などで、通常業務や管理システムのテクノロジーが進化するにつれ、ますます世界中で大きな脅威となっている。
しかもその攻撃を食い止めるのは容易ではなく、被害も甚大だ。KADOKAWAも1カ月以上が経った現在もシステムを完全には復旧できていない。
こう書くと、ランサムウエア攻撃は非常に複雑で、魔術のような攻撃であるかのように感じるが、基本的にはシステムに「脆弱性=セキュリティの穴」がなければなかなか感染しない。ところが、新規開発やテクノロジーの進化により、次々と便利な機能が導入され、システムが活性化していく現代、セキュリティの穴が生まれてしまうのを防ぐのは簡単ではなく、常に監視・管理を怠らない努力が求められる。
さらにランサムウエア攻撃グループは摘発が難しく、その活動を根本から抑止することが容易ではない。現在でも多くの犯罪グループが摘発されることなく、悠々と世界中で攻撃を繰り返している。
ランサムウエア攻撃の増加は止まらず、2024年は世界的に前年比で77%も増えている。一向に攻撃が減らない状況を鑑みると、被害を受ける側は、ランサムウエア防御へのアプローチを考え直したほうがいいところまで来ているのではないだろうかと思えるのだ。
システム復旧にお金をかけるより……
まず、ランサムウエアについて簡単に説明したい。企業などの内部システムがランサムウエアに感染すると、内部データなどが盗まれた後、サーバーやコンピューターがロックされたりファイルが暗号化されて動かなくなってしまう。すると、コンピューターにメッセージが表示され、「元通りにしたければ(指定期日)までに身代金を支払え。もし支払わないと、内部データをオンライン上で暴露する」と脅迫されるのである。
日本企業の場合、この時点で警察や所管官庁などに攻撃を受けたことを相談するケースが多い。それは決して間違いではないのだが、相談したところで、システムが元通りになることはないし、犯人の特定や逮捕につながることはない。なぜなら、ほぼすべてのランサムウエア攻撃グループは、ロシアを中心に海外を拠点としているからだ。
一方で、日本の警察や政府は、身代金の支払いを行わないよう企業を指導する。基本的に身代金の支払いは違法ではないが、もし支払えば、そのカネが攻撃者の活動資金になり、支払ってもシステムが元通りに復旧しない可能性もあるから、というのがその理由だ。
そうなると企業はシステムを自力で再構築しなければいけなくなる。そのコストは高くつく。例えば世界を見ると、企業がランサムウエアから復旧するコストは平均で200万ドル(約2億7000万円)ほどになる。日本の警察庁のデータでは、ランサムウエア攻撃を受けた後の調査や復旧にかかる費用として、46%の企業が1000万円以上かかっていることが判明している。5000万円以上は13%だ。
ただこれまで、身代金を支払うという決断をしてきた企業は少なくない。海外では特に顕著で、米セキュリティ企業・ソフォスの調査では、2024年の5月時点で、全世界でランサムウエアに支払われている身代金の額は平均200万ドル。2023年の年間平均40万ドルの5倍になっている。アメリカでは、復旧コストよりも身代金を支払うほうが安くつくという判断で、セキュリティ企業に依頼して攻撃グループと交渉をするケースは少なくない。
日本でも今年、ランサムウエア攻撃を受けた東京の大手メーカーが秘密裏に身代金を支払ったと言われているし、KADOKAWAも298万ドル(約4億7000万円)相当のビットコインを身代金として支払ったと報じられている。
また、2021年に徳島県つるぎ町立の半田病院を襲ったランサムウエア攻撃では、病院の電子カルテや会計システムが使えなくなり、診療が数カ月できなくなった。ロシア系の有名攻撃グループ「ロックビット」が実行犯だったこのケースでは、病院側が、警察などの指導に従って身代金を払わない決断をして、復旧費用に2億円がかかると試算した。
ところが事後に筆者が「ロックビット」幹部に取材を敢行したところ、病院側が雇ったIT系企業が身代金支払いの交渉をロックビットと行っていたことが明らかになった。しかも、このロックビット側は当初要求していた身代金6万ドル(約900万円)を3万ドルに割引していたとも語っていた。
このケースのように、億単位の金で独自に一から復旧するか、それとも数百万円で済む身代金を払うのか――企業も難しい選択を迫られることになる。
[1/2ページ]
