しかし、筆者はその考え方を支持しない。Qilinは中国語の「麒麟」のことであり、グローバルの研究者からは「クーリン」と呼ばれている。中国系のグループを装っているように見えるが、実態はロシアのグループである。
北朝鮮が支援する国家支援型攻撃グループ、ラザルスによるQilinのランサムウェアを使った攻撃が確認されているが、明確な連携、協力体制を裏付けるデータはない。ラザルスは北朝鮮の外貨獲得、各開発予算獲得のため金融犯罪(通常、国家支援型グループは金銭的な攻撃はあまりしない)を得意とする。
なぜ身代金の支払いを拒否できたのか
アサヒGHDの事例では、盗んだデータの一部が公開されたが、身代金の要求はなかったという。会見では、破壊されたデータはバックアップで復旧できることが判明したので、身代金の支払いには応じないことを、初期の段階で決定していたとする。
ランサムウェアの多くは、起動後に脅迫文とともに身代金の振込先(方法)や連絡先を表示する。
メールやメッセージを送ってくることもあるが、最初の段階で犯人と交渉しない決定をしていたとしたら、犯人側は当局に捕捉される危険を冒してまで交渉を行う必要はない。盗んだデータを売ることもできるし、売れるようなデータを(本当は)持っていなくても、次の標的に注力したほうがよい。
結果だけを見るなら、Qilinは大企業への攻撃を成功させたが、犯罪収益としては失敗だ(盗んだデータによほど価値がある個人情報や国家機密の類がなければ)。
アサヒGHDとしては、大きな混乱と市場に与えた影響は計り知れないが、日ごろのセキュリティへの取り組みや体制が被害を最小限に抑えられたと言える。とりわけ、被害発生当日にネットワーク遮断という英断を行えたこと。バックアップが有効に機能したことは大きい。
おかげで、身代金という損失、犯人との交渉などといった、復旧とは関係ないコストや時間にリソースを割かれることもなかった。筆者は、アサヒGHDのインシデントは、対策への教訓よりも、インシデント対応のレジリエンスのプラクティスとして参考にすべきと考える。
