身代金は支払うべきか？

イメージ：写真AC

身代金を支払って解決を目指すべきか？ 支払わずに解決を目指すべきか？ ランサムウェア被害に遭った企業や組織がまず始めに頭を悩ませる。 身代金を支払うことで解決を試みた企業で実際に何が起こったのか、昨年発生したランサムウェア被害事例を振り返る。

監督官庁からの手紙

先月、米国のパイプライン事業者に、監督官庁である米運輸省から一通のレターが届いた。_*1

それは、同社が「適切な計画と準備を怠っていたため」に、昨年発生したランサムウェア被害に伴って米国社会に甚大な影響を及ぼしたということ。そして、日本円でおよそ1億２千万円の制裁金を科すというものであった。

このランサムウェア被害の状況については、本稿でも昨年の6月に紹介したが、ここでも簡単に当時の状況について触れておく。

昨年5月、米国東海岸で消費されるガソリンのおよそ45％を供給するパイプラインがサイバー攻撃の被害に遭った。運営会社では影響拡大を封じ込めるために積極的にネットワークをオフラインにし、すべてのパイプライン操業が一時的に停止。その結果、一部の州ではガソリンスタンドのガソリンが無くなり、航空機は飛行ルートの変更を余儀無くされるなど、多くの場面で甚大な影響が生じることとなった。また、システムを止めるだけでなく、100GB以上のデータをわずか2時間ほどで盗み出してもいる。

この時、被害に遭ったパイプライン事業者では犯行グループに4.4Mドル、およそ5億円の身代金を支払うことで解決を試みている。

しかし、身代金の支払いによって即座にシステムを復元し、迅速に業務を再開することができなかった。

信頼関係を築く

およそ5億円もの身代金を支払いながら、なぜ？

なんと、身代金の支払いと引き換えに犯行グループから渡された復元ツールの出来が悪かった。そのため、復元ツールによってシステムを復旧することができなかったのだ。

冗談のような話であるが、犯行グループのスキルの問題でマルウェアの出来が悪かったり、復元ツールの出来が悪かったりし、身代金を支払ったのに復元できなかったという事例は少なくない。

このような話題となった時に、よく尋ねられる質問が一つある。

身代金を支払ったにも関わらず、身代金を持ち逃げして解決を手伝わないこともあるのではないかと。

たしかに、そのような事例が無いわけではないが、決して多くは無い。

あの犯行グループに身代金を支払ったのに、解決ができなったという評判が広まってしまえば、身代金を支払う被害が減るかもしれないからだ。サイバー攻撃を成功させるためにも、犯行グループは自身のレピュテーションを気にする必要があり、そして被害者との信頼関係を築こうとしていることが垣間見えることもある。