メインコンテンツへスキップ
main content, press tab to continue
特集、論稿、出版物 | 企業リスク&リスクマネジメント ニュースレター

サイバーリスク:ランサムウェア被害の身代金は支払うべきか

執筆者 足立 照嘉 | 2022年6月20日

身代金を支払って解決を目指すべきか? 支払わずに解決を目指すべきか? ランサムウェア被害に遭った企業や組織がまず始めに頭を悩ませる。 身代金を支払うことで解決を試みた企業で実際に何が起こったのか、昨年発生したランサムウェア被害事例を振り返る。
Risk and Analytics|Corporate Risk Tools and Technology|
N/A

監督官庁からの手紙

先月、米国のパイプライン事業者に、監督官庁である米運輸省から一通のレターが届いた。*1

それは、同社が「適切な計画と準備を怠っていたため」に、昨年発生したランサムウェア被害に伴って米国社会に甚大な影響を及ぼしたということ。そして、日本円でおよそ1億2千万円の制裁金を科すというものであった。

このランサムウェア被害の状況については、本稿の昨年6月に公開した Fish & Tips: 迅速な行動により、被害を最小限に抑える にて紹介したが、ここでも簡単に当時の状況について触れておく。

昨年5月、米国東海岸で消費されるガソリンのおよそ45%を供給するパイプラインがサイバー攻撃の被害に遭った。運営会社では影響拡大を封じ込めるために積極的にネットワークをオフラインにし、すべてのパイプライン操業が一時的に停止。その結果、一部の州ではガソリンスタンドのガソリンが無くなり、航空機は飛行ルートの変更を余儀無くされるなど、多くの場面で甚大な影響が生じることとなった。また、システムを止めるだけでなく、100GB以上のデータをわずか2時間ほどで盗み出してもいる。

この時、被害に遭ったパイプライン事業者では犯行グループに4.4Mドル、およそ5億円の身代金を支払うことで解決を試みている。

しかし、身代金の支払いによって即座にシステムを復元し、迅速に業務を再開することができなかった。

信頼関係を築く

およそ5億円もの身代金を支払いながら、なぜ?

なんと、身代金の支払いと引き換えに犯行グループから渡された復元ツールの出来が悪かった。そのため、復元ツールによってシステムを復旧することができなかったのだ。

冗談のような話であるが、犯行グループのスキルの問題でマルウェアの出来が悪かったり、復元ツールの出来が悪かったりし、身代金を支払ったのに復元できなかったという事例は少なくない。

このような話題となった時に、よく尋ねられる質問が一つある。

身代金を支払ったにも関わらず、身代金を持ち逃げして解決を手伝わないこともあるのではないかと。

たしかに、そのような事例が無いわけではないが、決して多くは無い。

あの犯行グループに身代金を支払ったのに、解決ができなったという評判が広まってしまえば、身代金を支払う被害が減るかもしれないからだ。サイバー攻撃を成功させるためにも、犯行グループは自身のレピュテーションを気にする必要があり、そして被害者との信頼関係を築こうとしていることが垣間見えることもある。

運が良くとも

運良く出来の良いランサムウェアにやられ、少額の身代金を支払うことで解決に至ったとしたら?

残念ながら手放しでこの状況を喜べるわけでもない。

例えば英国の場合、身代金を支払ったことによって制裁を科される可能性があるという見解を英国政府は度々示している。身代金を支払うことでテロリストの資金源となる可能性があるからだ。

また、米国の場合、財務省管轄のOFACが作成した制裁者リストに名前のある者が犯行グループに関与していた場合、これもテロリストへの資金提供とみなされ制裁を科される可能性がある。そもそも、善良な市民である可能性の低い犯行グループに対して金銭の授受を伴う解決を試みるということは、コンプライアンス上の問題を引き起こす可能性さえある。

身代金の支払いにはタイムリミットが設けられていることも多く、被害に遭われた企業や組織では原因の究明や影響範囲の特定、システムの復旧や取引先への対応など同時進行で行わなくてはならないことが膨大にあり、現場は非常に慌ただしい状況となることが常だ。

そのような状況で適切な対応を取るためには何が必要なのか、これを機に今一度考えてみられたい。

サイバーセキュリティの再点検

米パイプライン事業者でのランサムウェア被害に関し、制裁が科されたことを冒頭にて述べた。「適切な計画と準備が行われていなかった」ことで、米国に影響を与えたためだ。

つまり、ここで重要なことは、「適切な計画と準備」ということである。

サイバー攻撃への防御は当然のこととして、万が一被害に遭った場合に迅速に対応すべき計画とその準備が重要だということである。もちろん、ここでは攻撃を受けないようにすべきとは言っていない。攻撃を受けた時に被害を最小限に抑え、影響を最小限にするための取り組みを求めている。

そこで今回は、6項目の再点検すべきサイバーセキュリティについて紹介する。

  1. 事業継続計画を確認する。
  2. サプライチェーンを綿密に調べる。
  3. 侵害に関連してネットワーク・ベンダー・法執行機関と積極的に連携できるようにする。
  4. 従業員のセキュリティ意識を浸透させる。
  5. 企業インテリジェンスチームとITチームがソリューションについて緊密に連携していることを確認する。
  6. インシデント発生時の対応手順や連絡先をまとめたプレイリストを確認する。

ここに書き出したことは当たり前のことであり、いまさらの内容かもしれない。しかし、本稿にて紹介した米パイプライン事業者では、この当たり前が不十分であったことを指摘され、制裁を科されるに至っている。

逆に、日本国内で発生したランサムウェア被害では、事業継続計画が徹底していたからこそランサムウェア被害を最小限に抑え、事業を継続することができたという事例もある。

今一度、被害を最小限に抑え、影響を最小限にするための観点から、サイバーセキュリティを再確認されてみてはどうだろうか。

出典

*1 https://www.phmsa.dot.gov/sites/phmsa.dot.gov/files/2022-05/32022026\_Colonial\_Pipeline\_NOPV\_PCP\_PCO\_05052022.pdf

執筆者

サイバーセキュリティアドバイザー
Corporate Risk and Broking

英国のサイバーセキュリティ・サイエンティスト。
サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、経営に対するサイバーリスクの的確で分かりやすいアドバイスに、日本を代表する企業経営層からの信頼も厚い。近年は技術・法規制・経営の交わる領域においてその知見を発揮している。


Contact us