｢払う？払わない？｣ランサムウェア身代金の実態《どのくらいの企業が支払っているのか､払うとどうなるのか》主流の"二重脅迫型"への備え

二重脅迫型の攻撃は、標的企業に侵入したあと、比較的長期にわたって機密データをひそかに探し回る必要があり、それなりの準備やツール、攻撃スキルが必要だ。

おそらく、これらのグループは少数精鋭チームまたはコミュニティの中で作られたプロジェクトチーム的な存在と思われる。

平均的なランサムウェアの攻撃グループは、胴元が運営するRaaSという攻撃プラットフォームサービスを利用する。RaaSでは標的リスト、ランサムウェアやマルウェア、課金・決済システムが用意され、「アフィリエイター」がRaaSのアカウントを登録して攻撃を行う。

RaaSのアフィリエイターは、特殊詐欺、トクリュウでいう「出し子」「闇バイト」に相当する。アフィリエイターはプラットフォームが提供する情報とランサムウェアを展開し、身代金のキックバックをもらうだけで、企業の機密データを盗みだせるような人材はまれである。

RaaSを中心としたランサムウェア攻撃は、従来型の攻撃によって比較的少額な身代金を要求することになる。件数はこちらが圧倒的だが、被害額、身代金額を基準にすれば、高度なグループがしかける二重脅迫型のランサムウェア攻撃が上位を占めることになる。

つまり、現在のランサムウェアの攻撃グループは、アフィリエイターによるものと、RaaSプラットフォーム利用の有無にかかわらず、高度なスキルを持ったグループによるものの2つが考えられる。

二重脅迫型攻撃の弱点とは

ランサムウェア攻撃の被害、その入り口となるフィッシングメールは減る気配はなく、しばらくサイバー攻撃の主流の地位を確保し続けるだろう。

だが、高度な侵入・データ収集活動を伴う二重脅迫型の台頭は、今後の身代金交渉や、ランサムウェア攻撃の成功率に影響を与える可能性がある。

ソフォスのレポートでは、身代金を支払う企業の増加傾向を指摘しつつも、その半数以上が要求額より低い金額だったと指摘している。値下げに成功した事例の71％で、犯人側と何らかの交渉が行われていたという。

また、いくつかのセキュリティベンダーが、身代金の額の中央値の減少傾向を指摘している。被害件数や身代金支払い件数は高止まりしているが、1件あたりの被害金額や回復コストは下がってきているのだ。

これは、身代金の交渉の有効性を示すものではない。むしろ、高額の身代金は、支払わない、交渉しない企業が増えている可能性を示唆する。

ランサムウェアの被害者は、盗まれた情報で脅迫が行われた場合、身代金を支払っても、そのデータが完全に消去されるかどうかわからない。暗号化されたデータを復旧できたとしても、漏出したデータの改修はほぼ不可能だ。

つまり、二重脅迫は、短期的には脅迫効果を高めるが、中長期的には、被害企業の身代金支払いのモチベーションを下げる要因になる。

攻撃で個人情報が漏洩してしまった顧客らは「身代金を支払って、犯人にはデータを消してもらいました」と被害企業が説明しても納得しないし、情報が本当に消えたのかどうかも判断できない。

結局、漏洩被害者への対応は避けられず、訴訟費用や賠償金が必要になるなら身代金など支払うのはバカらしい、となる。

つまり、二重脅迫型ランサムウェアは、持続可能性に難がある。そして、これは防御側が、重要データの暗号化保存、漏洩対策、漏洩後の対応を強化、知見を増やすほど脅迫効果を下げることにもつながる。

身代金の支払いの是非や方法より、それを拒絶し対応策の議論に集中するほうが脅迫の抑止力になりうる。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、中尾 真二さんの最新記事をメールでお知らせします。