ハッカー集団の内部情報が漏洩､4000件超のランサムウェア"身代金交渉記録"が示す｢支払いの現実｣と狙われた組織に共通する弱点

たとえバックアップから復旧できる状態でも、攻撃者はデータ公開へと交渉の軸を移す。「規制当局に通報する」「評判を壊すのに十分なデータがある」といった揺さぶりが繰り返し確認された。なお、ある金融機関はすでに規制当局と顧客へ報告を済ませていたため、この脅しは空振りに終わった。迅速な報告はインシデント対応の責務であると同時に、攻撃者が使える材料を減らすことにもなる。

攻撃者が明かした被害組織に共通する「弱点」

交渉記録には、支払い後に多くの被害組織が再発防止のため「どこから侵入されたのか」と質問する場面が残されていた。攻撃者の回答から、共通の弱点が浮かび上がった。

最も多く指摘されていたのは脆弱なパスワードだ。「P@ssw0rd」などの具体例を挙げ、攻撃者が皮肉交じりに「いいパスワードだな」とコメントしている記録もある。

フィッシングによる侵入も目立った。従業員1人のマルウェア感染を起点に、社内ネットワーク全体を掌握しバックアップサーバーまで到達したという回答もあった。高度なゼロデイ攻撃ではなく、基本的な対策の不備が全社規模の被害を招いていた。

VPN機器の脆弱性を放置していたケースでは、攻撃者自身が「常に最新アップデートの適用を強く推奨する」と助言する場面もあった。攻撃者が繰り返し言及していたのは「ドメイン内でバックアップを管理するな」「管理者ホストをドメインから分離しろ」など構成に関わる指摘であり、裏を返せばこれらは攻撃者が最も注目する観点ともいえる。

バックアップさえあれば身代金を払わなくて済む——という通説についても、現実は単純ではない。バックアップから復旧済みでも、データ公開を避けるため支払いを選んだ企業があった。復旧コストと比較し支払いが合理的と判断したケースもある。逆に、バックアップサーバーごと暗号化され選択肢を奪われた企業も存在する。

一方で、復旧コストを算出し「この額以上なら自力復旧を選ぶ」と明示することで主導権を保った企業もあった。バックアップは万能薬ではないが、選択肢を持つための基盤となる。攻撃者もそれを理解しており、優先的に狙うため、保護の徹底が不可欠だ。

興味深いのは、約4割の被害組織が交渉チャットを開いてから1日未満で離脱していた点だ。被害範囲の確認や無料のテスト復号だけを行い、支払いには至っていない。「交渉＝支払い前提」という誤解は根強いが、実態は異なる。交渉が情報収集の手段として機能していたケースも確認された。

では「絶対に払うな」と言い切れるか。仮に人命や安全に関わる状況があったとして、支払いが状況改善の可能性を少しでも高めるなら、その判断を第三者が一律に否定することは難しい。また、身代金が少額で復旧コストがそれをはるかに上回る場合、従業員やその家族に及び得るリスクを踏まえ、支払いが“苦渋の選択肢”として検討対象に上ってしまう現実も否定できない。当事者に近いほど、教科書通りの正解は存在しない。