Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ランサム(身代金)は支払うべきか?

コロニカル・パイプライン社の騒動もひと段落つき、重要インフラが攻撃された際の危険性について日本でも真剣に討議される様になってきた気がします。併せてコロニカル・パイプライン社は約450万ドル(5億円弱)のランサム(身代金)を支払っていた事も米国では話題となっている様です。BBCハッカーにランサムを支払うべきか、というなかなか興味深い記事を出していました。

www.bbc.com

ランサムウェアの犯罪者は、コンピュータシステムを毎日人質に取っており、秩序を回復するために被害者に多額の支払いを要求しています。

コロニアルパイプラインのCEOは、攻撃によって会社が燃料の輸送を停止した後、先週、会社がハッカー約450万ドルを支払ったことを認めました

しかし、ビットコインアナリストのエリプティックの調査によると、これはほんの一滴の海です。

ビットコインの記録によると、昨年8月以来、責任のあるハッカーであるDarkSideは、約47人の犠牲者から少なくとも9千万ドルの身代金を支払っています。

BBC記事より引用)

 

キタきつねの所感

コロニカル・パイプライン社は身代金の支払いにより復号化ツールを入手した様ですが、復号スピードがあまりに遅すぎたのでバックアップからの復旧と並行して、運用の正常化を図ったと言われています。

ランサムオペレータ(攻撃側)に身代金を支払ったとしても、無事にデータ復旧までこぎつけられるのは、少し前の調査データですが半分程度だったかと思いますので、コロニカル社はまだ運が良い方だったのかも知れません。

ランサム支払いしても復旧は5割 - Fox on Security

 

ランサムの世界では分業化(RaaS)が進み、コロニカル・パイプライン社を襲ったとされるDarkSideも、彼らの発表によればですが、アフェリエイト(パートナー)が誤って攻撃したとコメントを出していましたが、技術的にあまり宜しくないアフェリエイトから復号鍵を入手しても”復旧”出来ないケースもある様です。

そうした中、BBCの記事では身代金払う?払わない?の問題が取り上げられていました。犯罪者に対する資金提供となってしまうランサム(身代金)は、支払うべきではない事については誰もが賛成するのかと思いますが、いざ企業や組織が当事者になった際には「判断が分かれる」かと思います。

 

 Cyber​​ ThreatAllianceの社長兼最高経営責任者であるMichaelDanielは、次のように述べています。

ランサムウェア攻撃は、主に利益によって動機付けられています。

「そして利益がなければ、攻撃者はこの戦術から離れていくでしょう。

「さらに、身代金の利益は、人身売買、子供の搾取、テロなど、他のさらに危険な犯罪に資金を提供するために使用されます。

「最後に、支払いはより多くの攻撃を生み、戦術の有用性を強化します

「身代金を払いたがる組織はありません。

「代わりに、破産の脅威、サービスの中断に起因する評判の低下、または人命の損失や大規模な経済的混乱の可能性が原因であるかどうかにかかわらず、彼らは選択の余地がないと感じています

「確かに、純粋に短期的な組織的な観点から、身代金を支払うことはしばしば経済的に合理的な決定です

BBC記事より引用)

 

BBCの記事では、「政府が身代金の支払いを禁止するべき」と言う専門家も多いのですが、「まだ早い」という意見もありました。

 

「そのような禁止はすぐに実行されるべきではありません

「実際、そのような禁止は、政府が効果的な被害者支援メカニズムを確立した後にのみ実施されるべきである。

「支払いの禁止は、予防、抑止、混乱、および対応を改善するための広範なキャンペーンの一部である必要があります。

「禁止に反対する人々は、移行期間中に攻撃された組織が直面する可能性があり、廃業したり、サービスを回復するという大きなプレッシャーに直面したりする可能性があることについて、優れた点を示しています。

「したがって、支払い禁止が意図した効果を達成するためには、政府はこれらの攻撃に耐えるためのリソースとサポートを企業に提供する必要があります。」

BBC記事より引用)

 

日本政府で検討されている・・・とは思えませんが、各国政府と連携して”将来の”身代金禁止に向けて議論が進む事を(少し)期待しています。

 

私見ですが、ランサムの主流である2重脅迫のデータ暗号化については、企業や組織の”バックアップ”の備えが大きく影響します。もう1つの”機密データの公開”については、メディアが”報じない”、競合企業が”買わない”という縛りをかけていく方向に向かう気がしています。

 

余談です。先週のランサム関係のニュースの中で、米国CNAの”ギブアップ”(約43億円の身代金支払い)が衝撃的でした。

www.bloomberg.co.jp

 

どこで見たか忘れてしまいましたが、最近のランサムオペレータの攻撃動向として、保険会社を最初に狙いサイバー保険に入っている企業の情報を得て、サイバー保険締結企業がいくらまで保険金でカバーされるのか把握した上で、攻撃(交渉)するという記事を見かけました。

 

CNAは、サイバー保険を取り扱っていると同時に、関連対策ソリューションを販売しています。高額な身代金を支払った事から考えると、”相当レベル”機密データが漏えいしていた可能性を感じます。

この事件に関連した、漏えい個人情報や保険契約先企業の機密情報を悪用されての2次被害が、今後何らかの形で出てくるかも知れません。

www.cna.com

 

日本の保険会社も同様なビジネス展開をしているかと思いますが、サイバー攻撃に対して「足元が」おろそかになってないか、十分に気を付けるべきかと思います。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 銀行強盗のイラスト

 

更新履歴

  • 2021年5月23日 AM