ランサムウェア攻撃の被害にあった場合、ほとんどの組織が、身代金の支払いに応じるかどうかの判断を迫られます。単刀直入に申しあげましょう。身代金を支払っても意味はありません。その理由は数多くありますが、ここではそのうちの3つについてご説明します。
まず、第一に、身代金を支払っても、暗号化されてしまったデータが再度利用できるようになるとは限りません。データを元に戻せないケースがあまりにも数多く見受けられます。攻撃を仕掛けたハッカーから提供される暗号解除のユーティリティが正しく機能しないことがあるからです。

データの破損

2020年5月に出現したProLockランサムウェアのケースがこれに該当します。当時のBleeping Computerのレポートによれば、ProLockの暗号を解除するツールは64MBを超える大きさのファイルを破壊する可能性があることを、FBIが突き止めました。100MBを超えるファイルの場合、キロバイトごとに1バイト程度、データの整合性が失われる可能性があると、調査に携わった担当者は警告を続けてきました。

ランサムウェアの攻撃を受けたときに、ハッカーに身代金を支払い、ハッカーから暗号解除の鍵を入手したとしても、データを失ったり、データが破壊されたりするおそれのあることが、ProLockなどの例からよくわかります。

弊社が最近公開したランサムウェアに関するレポート、『ランサムウェア 〜ビジネスにもたらす真のコスト〜』の調査の回答によれば、ハッカーの要求に応じたほぼ半数(46%)の回答者が、身代金を支払ったことで再びデータを利用できるようになったものの、全部ではないが一部のデータを破損してしまったと言います。一方で、身代金の支払い後にすべてのデータを完全に復旧できたとする回答はわずか51%しかありませんでした。また、身代金を支払ったにもかかわらずまったくデータを復旧できなかったと3%の回答者が認めています。

OFACの規制に違反するリスク

米国の制裁の対象となる国に居住地や活動拠点のあるランサムウェアのグループに身代金を支払った場合、米国政府から罰せられ、民事制裁金の支払いを科されるおそれがあります。米国財務省外国資産管理室(OFAC)は、2020年10月発行の勧告書において、この点を明確にしています。

この勧告書によれば、OFACは、ランサムウェアを操るハッカーを含むサイバー犯罪者を、サイバー関連の制裁プログラムの対象者に加えています。このイニシアチブでは、制裁の対象に指定された個人に対して物的支援などのかたちで支援を行った米国人を罰する権限を、OFACに与えています。

これらの内容は、制裁を受けている個人と取引しているとは知らなかった場合にも適用されます。勧告の内容を以下に示します。

OFACは無過失責任に基づき、制裁に関する違反行為に民事上の処罰を科すことができるものとします。すなわち、米国の法の支配を受ける個人は、OFACが定める制裁の法規制の対象になっている個人と取引をしていることがわかっていたと信じるだけの理由がある場合、あるいは、そのような相手であるとは知らなかったときでも、その取引で民亊上の責任を問われる可能性があります。

つまり、ランサムウェアを操るグループなどのサイバー犯罪者に身代金を支払ってしまうと、OFACの規制に違反して民事上の法的責任を問われる可能性があるのです。

再度攻撃と脅迫を受けるリスクを助長

身代金を支払ってしまうと、脅迫に屈する組織であるとの印象をハッカーに与えてしまいます。新たな攻撃を仕掛け、脅迫をする価値のある標的であるとみなされてしまうのです。

また、身代金を受け取ってもそれでハッカーが約束を守る保証はありません。正しく機能する複合ツールの提供を約束する場合だけでなく、二重脅迫の一環として盗み取ったデータの削除を条件にする場合でも同じです。

ランサムウェアの攻撃で一般に行われる暗号化の処理の前に、ハッカーは機密情報を盗み出しますが、二重脅迫はこの時点から始まります。通常、ランサムウェアは標的のデータを暗号化し、その復号ツールと引き換えに身代金の支払いを要求します。そして相手が身代金の支払いに応じないときには、盗み取ったデータを公開すると脅し、相手にさらなる圧力をかけるのです。

データをバックアップしておくという手法は常に効果を発揮しますが、二重脅迫を受けた場合には、ランサムウェア対策としての本来の効果は薄れてしまいます。

そして実際には、ZDNetのレポートの調査が伝えているように、身代金を受け取ったハッカーが常に約束を守るとは限らないのです。REvilやSodinokibiのランサムウェアを用いるハッカーの場合、一度身代金を受けってから今度は、盗み取った情報を削除する見返りとして新たな身代金を要求しているケースがありました。また、身代金を受けっていながら結局はデータを公開したハッカーもいます。

そして、再度攻撃を受ける場合、同じハッカーが攻撃を仕掛けてくるとは限りません。弊社の調査によれば、身代金の支払いに応じた組織の80%が再度攻撃にあっています。さらに、半数近く(46%)は同じハッカーから再び攻撃を受けたと述べている一方、3分の1以上(34%)が、別のハッカーから新たに攻撃されたと回答してきました。

概してFBIは組織に対し、身代金を支払わないよう助言していますが、それは、いったん支払いに応じてしまうと、脅迫に屈する組織だとみなされ、ハッカーがさらに大胆な行動に出るからです。ハッカーは攻撃活動を拡大することに価値があると考える可能性があり、複数の組織を標的として攻撃を継続するので、皆の安全が脅かされることになります。

ランサムウェアの攻撃を防ぐ

そもそも、組織にとっての効果を期待できる唯一の対策は、ランサムウェアへの感染を防ぐことにほかなりません。そのためには、侵害の痕跡(IOC)に頼らないアンチランサムウェアソリューションに投資する必要があります。ランサムウェアの攻撃チェーンのすべてがセキュリティコミュニティに知られているとは限らないからです。必要なのは、振る舞いの痕跡(IOB)を利用する多層型のプラットフォームです。このプラットフォームなら、セキュリティチームは、ランサムウェアの攻撃チェーンが既知であるか否かにかかわらず、攻撃チェーンを検知し分断できます。

サイバーリーズンが採用しているオペレーション中心のアプローチとは、データのフィルタリングを行うことなく、稀であるかまたは攻撃者にとって有利に働くような(それ以外の点では正常な)振る舞いの連鎖に基づいて、攻撃を早期に検知できることを意味します。Cybereasonはランサムウェアとの戦いにおいて無敗を誇っています。これは、Cybereasonが次世代アンチウイルス製品「Cybereason NGAV」、EDR製品「Cybereason EDR」、MDR製品「Cybereason MDRサービス」含め次のような多層型の防御、検知、対応機能を備えているためです。

  • アンチランサムウェア機能 – 防御機能とおとり技術:振舞い検知と独自のおとり技術を組み合わせ、きわめて複雑な構造を有するランサムウェアの脅威を検知し、重要なデータが暗号化される前にランサムウェアの動きを封じます。
  • インテリジェンスベースのアンチウイルス:過去に検知された攻撃に基づく、増え続ける脅威インテリジェンスのプールを活用することで、既知のランサムウェアのバリアントをブロックします。
  • NGAV:機械学習を活用するCybereason NGAVでは、コード内に存在する悪意のあるコンポーネントを特定し、変異した未知のランサムウェアが実行されるのを防ぎます。
  • ファイルレスランサムウェア対策機能:従来のアンチウイルスツールでは検知できない、MBRベースのファイルレスランサムウェアを利用した攻撃を無力化します。
  • エンドポイントコントロール:セキュリティポリシーの管理、デバイスの制御の維持、パーソナルファイアウォールの実装、固定デバイスとモバイルデバイスの両方を含むさまざまなタイプのデバイスを対象としたディスク全体の暗号化を通じ、サイバー攻撃に対するエンドポイントの耐性を強化します。
  • ドキュメントに隠された脅威を振る舞いで検知:非常に一般的なビジネスドキュメントのフォーマットに隠されたランサムウェアをCybereasonは検知し、その攻撃を防ぎます。このようなランサムウェアには、悪意のあるマクロや他のステルス型攻撃ベクターを悪用するランサムウェアなどがあります。

【グローバル調査結果】ランサムウェア 〜ビジネスにもたらす真のコスト〜

サイバーリーズンは、ランサムウェアがビジネスに及ぼす影響に関するグローバル調査を2021年4月に実施しました。

本レポートでは、主な業種におけるランサムウェア攻撃のビジネスへの影響を把握した上で、ランサムウェア対策アプローチを改善するために活用できるデータを紹介しています。
https:https://www.cybereason.co.jp/product-documents/survey-report/6368/