ランサムウェアの身代金、「支払い禁止令」を出すべきか？

ランサムウェア攻撃から復旧する際、身代金を支払うと素早く業務を再開できることがある。だが、これは犯罪者を利する行為だ。支払い禁止政策はどうなっているのだろうか。

[Matt Kapko，Cybersecurity Dive]

　ランサムウェアの活動を抑制する方法について議論が活性化している。どうすれば攻撃を抑制できるのだろうか。身代金の支払いを全面禁止すればよいのだろうか。

ランサムウェア対策がうまくいっていない

　セキュリティ専門家や政府関係者の間では、ランサムウェアを阻止する最善の方法についての合意がほとんど得られていない。これはまずい状況だ。

　米国の連邦政府は身代金を禁止する政策にかじを切った。これは攻撃の流れを弱めるための重要なメカニズムだと考えられている。

　それでも十分にはうまくいっていない。米政府高官が米国のランサムウェア被害者について2023年11月に語ったところによると、2022年5月から2023年6月までの間に身代金として企業や組織は15億ドルを支払ったという。

　サイバーセキュリティ事業を営むRapid7によると、2023年には約5200の企業や組織がランサムウェア攻撃の被害を受けた（注1）。情報セキュリティに関するサービスを提供するNCC Groupは、ランサムウェア攻撃は2023年に84％増加し、約4700件のインシデントが発生したと結論付けた（注2）。

　バイデン政権の国家サイバーセキュリティ戦略には（注3）、ソフトウェアの設計段階からデフォルトで安全な技術を開発、採用するための官民協力の取り組みが含まれている。身代金の支払いを禁止する範囲を広げるなど、ランサムウェアを直接ターゲットにした政策はまだ実現していないものの、より多くの支持を集めつつある。

　サイバーセキュリティベンダーTaniumのティム・モリス氏（チーフセキュリティアドバイザー）は、「純粋に倫理的な観点からは、身代金の支払いを禁止すべきだ。サイバー犯罪がもうかるものでなくなれば、犯罪者は自ずと離れていく。だが、ランサムウェアによって業務に支障を来した準備不足の組織にとっては、支払いが唯一の実行可能な選択肢かもしれない。また、多くの場合、身代金の支払いは安価な選択肢でもあるだろう」と述べた。

揺れ動く身代金支払い禁止政策　妥当なのか

　バイデン政権は2022年9月に身代金支払いの全面禁止を断念した（注4）。だが、連邦政府の関係者は2023年中頃に、国際ランサムウェア対策イニシアチブを通じて全面禁止政策を再び目指し始めた（注5）。

　現状を改善するために政策が練られている中、問題は解決できていない。さまざまな業種の企業がいまだに身代金を支払っている。Splunkが2023年10月に発表したレポートによれば（注6）、ランサムウェアの影響を受けた企業で働くCISO（最高情報セキュリティ責任者）の5分の4以上が「自組織が身代金を支払った」と述べた。

　企業や組織はすでに、米国財務省外国資産管理局から制裁を受けた個人や団体に身代金を支払うことを禁じられている（注7）。しかし、多くの研究者や脅威アナリスト、連邦サイバー当局は、より普遍な禁止という政策に賛同しつつある。

　サイバーセキュリティソフトウェア企業Emsisoftのブレット・カロウ氏（脅威アナリスト）は、「陰でこそこそ動くことがあまりにも多過ぎる」と「Cybersecurity Dive」に語った。カロウ氏と彼の同僚は、2024年の初めに身代金の支払いの完全な禁止を呼び掛けた（注8）。

　「ランサムウェアは主にサイバーセキュリティの問題ではなく、むしろ政策の問題だと確信している。本当の解決策はそこにある。私たちは、ランサムウェアを防ぐ方法を見つけていない。より優れた政策が必要だ」（カロウ氏）

　身代金の支払いを全面的に禁止すれば、被害者組織は事業継続や重要業務の再開と、サイバー犯罪への資金提供に対する法的規制とのバランスを取らざるを得なくなる可能性がある。

　IDCのフランク・ディクソン氏（Security and Trust research practiceのグループ・シニアバイスプレジデント）は、Cybersecurity Diveに対して、次のように語った。

　「カロウ氏の提案と、そこから想定される結果は単純過ぎる。身代金を支払わないことは正しい。問題はそれが最善かどうかだ」

禁止政策とビジネス上の配慮が対立

　全面禁止が実現するとしても何年もかかる可能性がある。さらに、国際的な支援はそれほど進んでおらず、実効性も限られている。

　48カ国と欧州連合（EU）、国際刑事警察機構（インターポール）が参加する国際ランサムウェア対策イニシアチブは、カロウ氏の提案をまだ完全に受け入れていない。同グループは2023年11月に共同政策声明を承認し、各国政府の管理下にある機関はランサムウェアに対する身代金を支払うべきではないと強調した（注9）。

　ディクソン氏によると、バックアップを取っている企業であっても、復旧プロセスを早めたり、盗まれたデータの公開を避けたりするために身代金を支払う場合が少なくないという。

　身代金要求に直面した場合、組織や企業は業務の中断や損失といったビジネス上の考慮事項を重視する。

　GuidePoint Securityのドリュー・シュミット氏（リサーチインテリジェンスチームのプラクティスリード）は「特定の復号キーなどがなければ、ITシステムを復旧できない場合もある」と述べた。

　ランサムウェアの技術的な影響に対処する際、シュミット氏は「代替手段が限られていたり、被害組織にとってより大きな損害を与えたりする可能性がある場合には、クライアントによる身代金の支払いを支援することもある」と言う。

　リスクや不確実性を軽減するために身代金を支払うことがあるという対応は、インシデント対応者やその他のサイバーセキュリティ専門家の間で共通の見解だ。

政策がもたらす変化は遅過ぎる

　ランサムウェアに関する支払いを巡る政策や規制は、2024年に大きく変わると予想されているが、どのように変わるのか、果たして効果があるのかどうかはいまだに不透明だ。

　シュミット氏は「最大の課題の一つは、組織が攻撃から復旧できるように柔軟性を持たせると同時に、ランサムウェアグループが経済的な意味を見いだせなくなるような政策を設計することだ」と述べた。

　また、政策によるランサムウェアへの取り組みが遅過ぎて、現代の攻撃者の活動の急速かつ劇的な変化に対応できないという懸念もある。

　「政策でランサムウェアに対処できるという考えは、それほどうまく機能しない。基本的には、3年前の過去の現実に形式的な政策や法的枠組みを適用するものだからだ」（ディクソン氏）

出典：Will the movement to ban ransom payments gain steam in 2024?（Cybersecurity Dive）
注1：Elevated ransomware activity hit nearly 5,200 organizations in 2023（Cybersecurity Dive）
注2：Cyber Threat Intelligence Report（NCC Group）
注3：White House releases national cyber strategy, shifting security burden（Cybersecurity Dive）
注4：US government rejects ransom payment ban to spur disclosure（Cybersecurity Dive）
注5：White House considers ban on ransom payments, with caveats（Cybersecurity Dive）
注6：Most CISOs confront ransomware — and pay ransoms（Cybersecurity Dive）
注7：Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments（United States Department of the Treasury）
注8：The State of Ransomware in the U.S.: Report and Statistics 2023（Emsisoft）
注9：Countries pledge to not pay ransoms, but experts question impact（Cybersecurity Dive）