ランサムウェアによる身代金の支払いはもはや「通常業務」か

ランサムウェア攻撃はもはやまれな事故ではなく、当然襲い掛かってくる危険に変わった。こうなると身代金を企業の年間予算に組み込む必要が出てくる。

[Matt Kapko，Cybersecurity Dive]

　Splunkの調査によると、大規模なサイバー攻撃はもはやまれな事態ではなく、ほぼ確実に降りかかってくる日常に変わった（注1）。

身代金を払う割合はどの程度なのか

　2023年10月10日（現地時間）に発表された調査結果によると、CISO（最高情報セキュリティ責任者）が大規模なサイバー攻撃に遭遇する確率は1に近い。当然のように身代金の支払いが必要になっている。

　350人のセキュリティ担当の幹部を対象にしたSplunkの調査に回答した96％のCISOが「過去1年間に少なくとも1回はランサムウェア攻撃を受けた」と報告した。回答者の52％はランサムウェア攻撃によって、業務やシステムに大きな影響を受けた。

　組織が直面するランサムウェア攻撃がこれほど多いと、身代金を支払う状況も増える。CISOの83％が「所属する組織が身代金を支払った」と回答した。

業務の一環としてあらかじめ身代金を用意しなければならない

　このような頻度で身代金の支払いが行われている以上、CISOは身代金の支払いが実質的に仕事の一部であるという前提に基づいて活動しなければならない。

　Splunkのライアン・コーバー氏（ブルーチームの機能とセキュリティリサーチチームの機能を備える「Surge」のリーダー）は、次のように述べた。

　「CISOは身代金が要求される事態を予測し、それをサイバー保険の予算に組み込む責任がある。もちろん身代金を要求される事態に至る前に、組織が強力な耐性を備えるための計画をCISOが立てなければならない」

身代金は攻撃者の「プロテイン」になる

　身代金の支払いの多発はサイバー犯罪者の活動を助長する恐れがある。米政府と一部の同盟国は2023年の初めに、身代金の支払いの禁止を提案した（注2）。

　サイバー関連と新興技術を担当する国家安全保障副顧問のアン・ニューバーガー氏は、Institute for Security and Technologyが主催した2023年5月のイベントで次のように述べた。

　「身代金の支払いこそが新たなランサムウェア攻撃を促している。個々の企業にとっては金銭を支払う決断が正しい場合もあるが、ランサムウェアという大問題を解決するには、金銭の支払いは誤った決断だ」

　身代金の支払いの禁止は防衛戦略の大きな転換を意味し、金銭的な動機に基づく攻撃者に対抗するための新しい手段となるだろう。

　2022年9月にバイデン政権は身代金の支払いの全面的な禁止に反対した（注3）。一方で、サイバー当局は組織に対して、身代金を支払わないよう強く勧めている。

　Splunkの報告書によると、支払った身代金の額には幅がある。ほとんどの組織が支払った身代金は25万ドル未満だが、11社に1社は100万ドル以上の身代金を支払った。

　Splunkの研究者は報告書で次のように記した。

　「ランサムウェアを使う攻撃者にとっては、これは利益の出るビジネスなのだ。絶望の下で、多くの組織は自社の評判を賭けて、データの暗号化の解除やシステムの回復、機密情報の漏えいの防止のためにこのリスクを受け入れている」

出典：Most CISOs confront ransomware ? and pay ransoms（Cybersecurity Dive）

注1：The CISO Report（splunk）

注2：White House considers ban on ransom payments, with caveats（Cybersecurity Dive）

注3：US government rejects ransom payment ban to spur disclosure（Cybersecurity Dive）