身代金の「支払い禁止」政策がもたらす思わぬ"副作用"とは？

ランサムウェア攻撃を減らすために、「身代金の支払い」を禁止する政策が現実のものになってきた。政府と攻撃を受けた企業、攻撃者の間で複雑な綱引きが起きそうだ。

[Matt Kapko，Cybersecurity Dive]

　米政府はランサムウェア攻撃を受けた組織に対して、身代金の支払いを禁じる政策を進めている。米国内だけでなく、国際的に広がる話だ。

政府、組織、攻撃者、勝つのは誰だ

　この政策を進めているのはホワイトハウスとランサムウェア対策における国際的なパートナーだ。

　「米国政府内では二国間および多国間で取り組んできた政策であり、サイバー当局は国際ランサムウェア対策イニシアチブ（ICRI）の一環として捉えている」（注1）

　こう語るのはアン・ノイバーガー氏だ。同氏はサイバー・新興技術担当副国家安全保障顧問を務めており、2023年5月5日に開催されたセキュリティとテクノロジー研究所のランサムウェアに向けたタスクフォースの壇上で内情を披露した。

　「身代金支払いを禁止することでランサムウェア攻撃を抑えてもよいのだろうか。基本的にランサムウェア攻撃者の動機は金銭だ。個々の企業が身代金支払いを望むことはあるだろう。だが、ランサムウェアという巨大な問題に対して、それは誤った決定だ」（ノイバーガー氏）

　ただし、身代金の支払い禁止には例外があるという。

　「ランサムウェア攻撃によって、（国家的に）重要なサービスの提供が妨げられた場合、関連する政府機関からの適切な通知と許可があれば、特定の条件によっては禁止を免除できる」（ノイバーガー氏）

　身代金の支払いに関して政府が政策によって介入すると、予想していなかった副作用が起きるかもしれない。

　「身代金を支払わない方が得策なのか、よく考えてほしい」（ノイバーガー氏）

　今回の政策は米国政府が政策プロセスを通じて検討し、国際ランサムウェア対策イニシアチブとも協力して進めているものだ。もし実施されれば、ランサムウェア対策についての戦略が大きく転換することになる。

　バイデン政権は2022年秋の時点で、身代金の支払いを全面的に禁止することを決定済だ（注2）。サイバー当局は攻撃を受けた組織に身代金を支払わないよう強く勧めている。

　2022年9月に開催された「Code Conference」でノイバーガー氏は次のように述べた。「ランサムウェア対策として技術者のセキュリティ能力を高めたり、対象システムのセキュリティ対策を向上したりすることも可能だ。だがそれは非常に困難であり、時間もかかる。そのため、身代金の支払いを禁止することになる」

身代金の支払い禁止がもたらす思わぬ"副作用"とは？

　身代金の支払い禁止は、形式や規定がどのようなものであっても、サイバー攻撃の被害報告にしわ寄せが起きる可能性がある。

　Recorded Futureのアラン・リスカ氏（脅威インテリジェンスアナリスト兼ソリューションアーキテクト）は、「Cybersecurity Dive」に対して「われわれはすでに被害報告について問題を抱えている」と語った。

　身代金の支払いを禁止されると何が起こるのだろうか。どうしても自社のデータを回復したい企業は身代金を支払った上で支払った証拠を隠したくなるだろう。つまり、組織はランサムウェア攻撃を受けたこと自体を隠すようになるかもしれない。

　「ランサムウェア攻撃の実態をさらに地下に追いやることになる。2年後の2025年には『ああ、もうランサムウェアは存在しないんだ』という風潮になるかもしれない。なぜなら、誰もがランサムウェア攻撃を隠すために、できる限りのことをするからだ」（リスカ氏）

　「身代金の支払い禁止は良くないアイデアだ」とリスカ氏は語る。ノースカロライナ州の政策がもたらした結果を見れば分かるのだという。

　ノースカロライナ州は2022年4月、公共部門が身代金を支払ったり、ランサムウェア攻撃者と連絡を取ったりすることを禁止した。だが、リスカ氏によれば、同州の公共部門組織に対するランサムウェア攻撃は、減っていない。少なくとも公表された数についてはそうだ。

　身代金の支払いを禁止した場合、長期的には身代金支払件数が減るかもしれない。だが短期的な影響は組織にとって重しになる可能性がある。特に、禁止措置の免除を受ける方法が分からなかったり、あるいは、適切な政府機関が免除を発行するのを待ったりする必要がある組織にとってはそうだろう。

　企業や機関が従うべきロードマップを作成し、特定のケースで免除を認めることは、困難な事業となるだろう。

支払い禁止政策は攻撃を抑え込めるか？

　一部のサイバー当局はランサムウェアが引き続き高い脅威レベルにあるため、身代金の支払い禁止について公式な方針を再考した。

　ノイバーガー氏は2023年5月上旬にダラス市で起きたランサムウェア攻撃と（注3）、同市の警察署が直面する継続的な影響について言及し（注4）、事態が単純ではないことを示した。

　カリフォルニア州サンバーナーディーノ郡保安局は、最近ランサムウェアの攻撃を受けたが、Southern California News Groupの報道によれば（注5）、2023年5月5日に110万ドルの身代金を支払った。

　「ランサムウェアは金銭的な動機に基づく犯罪であり、支払えば支払うほど、その種の犯罪行為への関心が高まる」と、Institute for Security and Technologyのランサムウェアに向けたタスクフォースのイベントでパトリック・ハリナン氏（オーストラリアの内務担当大臣カウンセラー）は述べた。

　「ランサムウェアの支払いを違法化することは良いことだと思うが、必ずしもそう簡単なことではない」（ハリナン氏）

　身代金支払いの禁止についてサイバー当局は何を考えているのだろうか。ランサムウェアの攻撃側により大きな打撃を与えるために、（技術ではなく）戦略や政策に軸足を置くことを望んでいることが分かる。

　Emsisoftのブレット・カロウ氏（脅威アナリスト）は「身代金を支払う状況を制限する以外に選択肢はないと思う。支払いが減れば、ランサムウェアも減る。簡単なことだ」と語る。

　脅威情報コミュニティーはサイバー当局と同様に統一が取れていない。身代金の支払いを非合法化することについて、コンセンサスに達していないからだ。

　「一的に、何かを禁止したとしも、犯罪者は気にかけない。誰もが自分たちと同じように悪賢いと考える。つまり、被害者から身代金を受け取る方法を見つけるだろう。支払いを禁止する政策が最終的にランサムウェア攻撃の減少につながったとしても、それ以外のサイバー犯罪が広がるだろう。お金を脅し取ることができなければ、攻撃者はあなたをだましてお金を奪う別の方法を考えるだろう」（リスカ氏）

出典：White House considers ban on ransom payments, with caveats（Cybersecurity Dive）

注1：White House convenes dozens of countries to fight ransomware（Cybersecurity Dive）

注2：US government rejects ransom payment ban to spur disclosure（Cybersecurity Dive）

注3：Dallas ransomware attack causes critical service outages（Cybersecurity Dive）

注4：Dallas still recovering from ransomware on eve of municipal election（Cybersecurity Dive）

注5：San Bernardino County paid $1.1 million ransom to hacker of Sheriff’s Department computers（THE SUN）