(イメージ:写真AC)

今年で5年目を迎えたEuropol(欧州刑事警察機構)のランサムウェア被害を防ぐためのプロジェクトは、その活動によってサイバー犯罪者が約10億ユーロを稼ぐことを防いだ*1と推定している。ランサムウェア攻撃が終息する日は訪れるのだろうか?

リスクの波及

米国の独立記念日といえば、日本の盆と正月が一緒に来たような非常に重要な日。この独立記念日の3連休前日となる7月2日に、米フロリダのソフトウエア会社がランサムウェア被害に見舞われた。同社のソフトウエアを使用しているおよそ60社の企業が被害に遭っている。

60社。

最近では、一つの脆弱(ぜいじゃく)性から数百社や数千社が被害に遭うことも多い。そのため、比較的影響が少なかったのではと思われる方もおられるかもしれない。

しかし今回、被害に遭った60社がどのような企業であったのかということに着目していただきたい。これら60社は企業のITを管理する企業だった。そして、ランサムウェア被害に遭ったソフトウエア会社が開発した、ソフトウエアの更新などを管理するソフトウエアを使用して顧客のITを管理していた。

つまり、その影響範囲は、被害を受けた60社に自社のIT管理を委託していた1000社以上におよび、米国だけでなく南米や欧州、アフリカなどの企業にも影響が及んでいる。フロリダで発生したサイバー攻撃被害により、スウェーデンのスーパーマーケットのレジも動かなくなったのだ。

身代金の支払い

その後、同ソフトウエア会社はランサムウェアによって暗号化されてしまったファイルを復号化するツールを入手し復旧に取り組んでいる。この復号化ツールの入手に際して、一部のメディアでは犯行グループに身代金を支払うことで入手したということや、身代金を支払って入手したがツールは機能しなかったといったことなど、いくつもの憶測が報じられた。

その後、同社は身代金を支払ったことを否定する声明を自社のウェブサイトに掲載している*2

用いられたツールはセキュリティー企業の協力で提供され、影響を受けた顧客のIT環境復元を積極的に支援していることも述べられている。同社ではさらなるサイバー攻撃を助長してしまうことを懸念して、しばし沈黙していたのだ。実際にサイバー攻撃被害に遭った企業では、このような理由から詳細な情報を時間差で公表したり、あえて公表しないといった対応を取ることも多々見受けられる。

また、ランサムウェア攻撃の際には、被害者がバックアップデータから被害前の状態に復旧してしまうことを避けるために、マルウェアによってバックアップデータを探し出して削除するというところまでセットで行われることが一般的である。ところが、今回被害に遭った60社の中には、マルウェアがバックアップを削除していなかったため身代金要求に応じなかったという声も伝わってくる。

この身代金要求に応じるか否かということについては、平時より議論の的となることの多い悩ましいテーマではある。しかし今後は、犯行グループにとっても悩ましい問題となるかもしれない。