ランサム（身代金）は支払うべきか？

コロニカル・パイプライン社の騒動もひと段落つき、重要インフラが攻撃された際の危険性について日本でも真剣に討議される様になってきた気がします。併せてコロニカル・パイプライン社は約450万ドル（5億円弱）のランサム（身代金）を支払っていた事も米国では話題となっている様です。BBCがハッカーにランサムを支払うべきか、というなかなか興味深い記事を出していました。

www.bbc.com

ランサムウェアの犯罪者は、コンピュータシステムを毎日人質に取っており、秩序を回復するために被害者に多額の支払いを要求しています。

コロニアルパイプラインのCEOは、攻撃によって会社が燃料の輸送を停止した後、先週、会社がハッカーに約450万ドルを支払ったことを認めました。

しかし、ビットコインアナリストのエリプティックの調査によると、これはほんの一滴の海です。

ビットコインの記録によると、昨年8月以来、責任のあるハッカーであるDarkSideは、約47人の犠牲者から少なくとも9千万ドルの身代金を支払っています。

（BBC記事より引用）

キタきつねの所感

コロニカル・パイプライン社は身代金の支払いにより復号化ツールを入手した様ですが、復号スピードがあまりに遅すぎたのでバックアップからの復旧と並行して、運用の正常化を図ったと言われています。

ランサムオペレータ（攻撃側）に身代金を支払ったとしても、無事にデータ復旧までこぎつけられるのは、少し前の調査データですが半分程度だったかと思いますので、コロニカル社はまだ運が良い方だったのかも知れません。

ランサム支払いしても復旧は5割 - Fox on Security

ランサムの世界では分業化（RaaS）が進み、コロニカル・パイプライン社を襲ったとされるDarkSideも、彼らの発表によればですが、アフェリエイト（パートナー）が誤って攻撃したとコメントを出していましたが、技術的にあまり宜しくないアフェリエイトから復号鍵を入手しても”復旧”出来ないケースもある様です。

そうした中、BBCの記事では身代金払う？払わない？の問題が取り上げられていました。犯罪者に対する資金提供となってしまうランサム（身代金）は、支払うべきではない事については誰もが賛成するのかと思いますが、いざ企業や組織が当事者になった際には「判断が分かれる」かと思います。

Cyber ThreatAllianceの社長兼最高経営責任者であるMichaelDanielは、次のように述べています。

「ランサムウェア攻撃は、主に利益によって動機付けられています。

「そして利益がなければ、攻撃者はこの戦術から離れていくでしょう。

「さらに、身代金の利益は、人身売買、子供の搾取、テロなど、他のさらに危険な犯罪に資金を提供するために使用されます。

「最後に、支払いはより多くの攻撃を生み、戦術の有用性を強化します。

「身代金を払いたがる組織はありません。

「代わりに、破産の脅威、サービスの中断に起因する評判の低下、または人命の損失や大規模な経済的混乱の可能性が原因であるかどうかにかかわらず、彼らは選択の余地がないと感じています。

「確かに、純粋に短期的な組織的な観点から、身代金を支払うことはしばしば経済的に合理的な決定です。

（BBC記事より引用）

BBCの記事では、「政府が身代金の支払いを禁止するべき」と言う専門家も多いのですが、「まだ早い」という意見もありました。

「そのような禁止はすぐに実行されるべきではありません。

「実際、そのような禁止は、政府が効果的な被害者支援メカニズムを確立した後にのみ実施されるべきである。

「支払いの禁止は、予防、抑止、混乱、および対応を改善するための広範なキャンペーンの一部である必要があります。

「禁止に反対する人々は、移行期間中に攻撃された組織が直面する可能性があり、廃業したり、サービスを回復するという大きなプレッシャーに直面したりする可能性があることについて、優れた点を示しています。

「したがって、支払い禁止が意図した効果を達成するためには、政府はこれらの攻撃に耐えるためのリソースとサポートを企業に提供する必要があります。」

（BBC記事より引用）