｢払う？払わない？｣ランサムウェア身代金の実態《どのくらいの企業が支払っているのか､払うとどうなるのか》主流の"二重脅迫型"への備え

しかし、データを暗号化して身代金を要求、支払いに応じなければ盗んだ情報を公開する「二重脅迫型」のランサムウェア攻撃は逆だ。身代金の支払い交渉に（犯人側の）人間が関与する場合が多い。

二重脅迫型の攻撃では、量より質を優先させるため、高額な身代金を請求できる大手企業に狙いを定めることになる。準備コストもかかるため、攻撃の成功率（身代金の回収）を上げる必要もある。

したがって、自動化による効率アップより、人間同士の交渉によって身代金を吊り上げたい（被害者側は値段を下げたい）事情がでてくる。

一般論として、犯罪者が利する身代金は支払うべきではないが、医療関係の場合、人命を優先させる必要もある。このような交渉は、犯罪捜査、テロ対策などにおけるそれと同様に専門の交渉人に依頼することになる。

ランサムウェアの場合、セキュリティベンダーや保険会社が交渉や仲介に入ってくれるサービスがある。

ただし、犯人との接触や交渉は、いわば誘拐人質事件などにおける超法規的措置と考えるべきだ。金額が自力復旧や損失コストより安い（とその組織が考える）なら、ビジネスライクに支払い交渉を行うという考え方もあるが、身代金の支払いと、暗号化されたデータの復号、システムの復旧は直結しない。

仮に正しい復号キーが得られたとしても、全部のデータが復号できるか、システムが元通りになるのかの保証はない。

クラウドストライクの調査では、身代金を支払った企業のうち、データを復旧できなかった割合は45％だったというデータもある。さらに、同じ攻撃者または別の攻撃者から再び攻撃を受けた割合は83％だともいう。

二重脅迫型において、盗まれたデータやネットに流されたデータ（サンプルとして盗んだデータを公開することがある）を回収することは不可能である。

二極化するランサムウェア攻撃

ランサムウェアを取り巻く状況を見ると、二極化が見て取れる。二極化とはどういうことか。順を追って考察する。

先ほど引用した警察庁のデータでは、件数としては暗号化だけの脅迫がまだまだ多いといえる。RaaSを使った従来型と二重脅迫型の攻撃グループの属性も違うと考えられるが、ここ1、2年でランサムウェア攻撃の主流は、海外の動きも見ると二重脅迫型に移っている。

暗号化によるシステムダウンや業務停止は、バックアップによって復旧が可能であり、応じる企業が減っているため、脅迫の効果を高めるためにデータ暴露も脅迫に加えているからだ。

高額の身代金を要求し成功しているパターンの多くは、盗んだデータを暴露する、犯罪者に売り払うという二重脅迫を行っている。