メディア

ランサムウェア感染後に身代金を払う企業が後を絶たない理由

ランサムウェアは経営者に身代金を支払うかどうかという難しい選択を迫る。一般的に身代金を支払ってはならないと言われているが、支払う企業が後を絶たない理由とは?

» 2022年07月21日 08時00分 公開
[Matt KapkoCybersecurity Dive]
Cybersecurity Dive

 多くの企業の経営幹部は、「ランサムウェアに感染しても身代金の支払いに応じてはならない」というアドバイスを認識しているにもかかわらず、ランサムウェア被害に遭った際、身代金を支払おうとする。

 セキュリティ企業のKasperskyが2022年4月に実施した調査によると、ランサムウェア攻撃を受けた企業の5社のうち4社が、「身代金を支払って企業データへのアクセスを回復した経験がある」と回答しているという。

一度身代金を支払った企業の97%は再度支払う 一体なぜ?

 Kasperskyが900人の上級管理職を対象に実施した調査によると、3分の2近くの回答者が「ランサムウェア被害に遭ったことがある」と認めた。さらに、過去に身代金を支払った企業の97%が「またランサムウェアに感染した場合、再び支払う」と回答している。

 この調査結果は、「身代金を支払ってはならない」と周知されたベストプラクティスがほとんど守られていないことを浮き彫りにした。Kasperskyを含むサイバーセキュリティの専門家は、ランサムウェアに感染した企業に対し、決して身代金を支払わないように一貫して助言しているが、多くの企業が身代金支払いを辞められない理由は何だろうか。

 ランサムウェアに感染し身代金を支払うことは、攻撃者に報酬を与えることとなる。攻撃者は、さらなる金銭的利益を得るためにマルウェアの使用を活発化するだろう。経営陣が、ランサムウェアの支払いに応じたところで、効果はあまりない。

 KPMGのサイバーセキュリティアドバイザリープラクティスプリンシパルであるチャールズ・ジャコ氏は「攻撃者が侵入し、その支配下にある状態で身代金を支払えば、彼らは再び同じことをするだろう。一度支払ったことで、支払いの意思を示したようなものだ。再度要求されることは時間の問題だ」と述べている。

 Kasperskyによれば、ランサムウェアの攻撃件数は2021年ほぼ倍増した。ランサムウェアによる脅威を認識している企業は、43%が身代金をすぐに支払う傾向にあるのに対し、情報の少ない企業では26%にとどまった。攻撃を理解している企業ほど、速く支払いを決断してしまっているという現状だ。

 身代金を支払わなかった企業のうち5社に1社はデータを取り戻したが、大半の企業が支払ってしまったため、データを取り戻す方法をより広範囲に適用した場合どれだけの成果が得られるかは不明だ。

 経営者にとって、ランサムウェアに感染した場合の対応、特に身代金を支払うか否かは、攻撃を経験するまではほとんど理論の域を出ない。サイバーセキュリティアドバイザーや規制当局、法執行機関からのガイダンスは明確だが、「身代金の支払いは悪手だ」という一般的な見解は、実際に企業データと財務実績が危機にひんしたときには役に立たない。

 2021年、CNA Financialへの攻撃は、年間を通してランサムウェア事件の規模が拡大する中で発生し、ビジネスリーダーは難しい選択を迫られた。サイバー保険ツールなどを提供する同社は、ランサムウェア攻撃によってネットワークへのアクセスが遮断され、機密データが流出した後、攻撃者に4000万ドルを支払ったと伝えられている。

 この支払いは、これまでに支払われた身代金の中で最高額であると言われている。その他、Colonial Pipelineへのサイバー攻撃により、東海岸と米国南部の大部分の燃料配送が一時的に停止した事件などが広く知られており、440万ドルの身代金が支払われている。同社CEOのジョセフ・ブラウント氏は後にこの支払いを許可したことを謝罪したが、「それが国益にかなうものだった」と主張している。

 「ランサムウェア攻撃への適切な対応は状況によって異なり、企業の対応は危険にさらされているデータやインフラの種類に大きく依存するが、一般的に企業は身代金を支払うべきではない。しかし、攻撃によってビジネスの停止を余儀なくされ、データを取り戻すことができないために毎日何百万、何十億ドルもの損失を出すなら、ビジネスを停止させるよりも身代金を支払った方が安上がりなのは明らかだ」とジャコ氏は話す。

 実際、ランサムウェアへの対応方法に関する認識不足とデータの復元にかかる時間の長さから、企業は身代金を支払うよりも復元を待つ方が多くの損失を被ることが多いと、Kasperskyは報告書の中で結論づけている。

 ジャコ氏は、「予防と早期発見がランサムウェアに対する最善の防御策であることに変わりはないが、企業は攻撃された場合に従うべきプレイブックを開発する必要がある」と述べている。「大規模な対策を効果的に準備する企業の能力は、規模や性質、ITスキルセットによって異なるが、企業は重要な資産の脆弱性に優先順位を付けて制限する必要がある」。

 また、身代金を支払って被害を解決した後に防御を強化することで、この事件を契機として今後の攻撃を受けにくくすることもできる。

 「身代金を支払わないことを選択できる企業は、おそらくサイバーセキュリティの能力が非常に成熟しており、情報を回復する方法を知っている」とジャコ氏は述べる。

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。