第23回 感染したらどうする? ランサムウェアに身代金を払うことの意味日本型セキュリティの現実と理想(1/3 ページ)

ランサムウェア感染の被害者は身代金要求に応じるべきか悩む。「拒否すべき」との見解は多いが、当事者にとってはそれ以外に選択肢がないこともあり得るだろう。今回はこの難しい問題にどう対応していくのかについて記す。

» 2016年05月26日 07時00分 公開
[武田一城ITmedia]

身代金を支払わせる工夫を重ねるランサムウェア

 ランサムウェアは、ファイルを暗号化することなどで情報を人質にし、身代金を支払うことによって復号されるケースもあるという、攻撃者が効率よく金銭を得るために考えられた犯罪だ。そして、「こんな犯罪行為をする人間が約束を守るはずはない」と、誰もが身代金を払うのは無駄だと思ってしまう。ところが実際に欧米では被害者が身代金を支払うと、意外にも復号される例もあるという。

 これは、よく考えると当然だ。攻撃者が感染したPCのファイルを暗号化するのは、使えなくすることが目的ではない。単純に金儲けが目的であり、その手段としてファイルを暗号化する。身代金を支払っても復号されないのであれば、誰も払わないし、攻撃者にとってもランサムウェアを感染させた意味がなくなる。だから、身代金を支払えばデータを復号させるという期待を被害者に持たせなければ、そもそもビジネスとして成立しなくなるからだ。

 だが、相手は犯罪者なので、身代金を支払えばデータを必ず元に戻すとは限らないのは当然であり、身代金を払うことが一か八かの賭けであるというこの犯罪の本質は、実際の誘拐などと同様に変わらないだろう。

 身代金はその時々でもちろん異なるが、最近の相場は5万円ほどだという。それが無理なく支払える最適な設定なのだろう。それで自分のファイルが無事復号されるなら、下手に復号のための作業をしたり、解析を含めてベンダーに依頼したりするよりは、はるかに安上がり――という安易な判断をされる人がいるかもしれない。

 しかも、攻撃者は商売上手だ。被害者に冷静な判断をさせまいと復号が可能な期限を「カウントダウン」で焦らせ、その上で先述のように直感的に「払ってもいいかな?」と思わせる絶妙な金額を設定している。このように、身代金を効率的に手に入れる工夫を積み重ね、巧妙になってきている。

身代金を支払ってはダメ?

 ランサムウェアの被害に遭って大事なファイルが使えなくなるのは困る。だからといって、「身代金で解決してしまおう」と安易に考えるのは、やむにやまれぬ事情がない限りは避けなければならない。

なぜなら、被害者が支払った金銭が攻撃者をより一層強くする可能性が高いからだ。身代金で攻撃者はさらに富み、豊かになる。被害者はその後、さらに深刻な被害に見舞われることになるだろう。もちろん、その一層強い攻撃は他の人も対象にする。このような被害者の安易な身代金の支払いが世界中に迷惑をかける可能性があるのだ。

攻撃による金銭で豊かになった攻撃者は、それを資金源にもっと強力な攻撃手法が得られる。スキルの高いサイバー攻撃ができるハッカーを雇えるし、より感染力の高いマルウェアも作成できるだろう。攻撃者の代わりにDDoS攻撃をしてくれるサービスを利用して、より大規模な攻撃も実行可能だ。攻撃者に資金を与えることは、攻撃がビジネスとしてより強く成長することにつながる。つまり、攻撃者に金銭を与えるということは攻撃力を向上させることと同義だ。その結果、世界中にサイバー攻撃のリスクを拡大させてしまうだろう。

攻撃成功による負のサイクル

 しかし、被害者に「身代金の支払いは禁止」と断定させれば、ランサムウェア問題は解決するだろうか。それを徹底させることは非常に難しい。禁止しても追い込まれた被害者は隠れて身代金を支払うだろう。人質に取られたそのファイルが利用できないと、企業がもっと多額の直接的な損害を受けるという場合もあり得るし、時にはその情報が無いことで存亡の危機に立たされる可能性さえ否定できない。最悪、その情報の有無で人の命を左右してしまうこともあり得る。

 既に海外では病院のカルテ情報などが暗号化されてしまい、人命が危機にさらされる状況が発生し、1万7000ドルほどの身代金を支払った例もある。このような場合、「身代金は絶対に支払ってはいけない」と禁止することは、人命尊重の観点からも現実的には非常に難しく、徹底できるはずがない。その他にも米国のテネシー州、マサチューセッツ州、メイン州などの保安官事務所や警察などで数100ドルの支払いに応じているというニュースも複数ある。取り締まるはずの警察が犯罪者に支払うというのは本当に驚きだ。つまり、これは現実の誘拐と同様に、「禁止」することがこの犯罪を撲滅する決定打とはならないことを示している。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

あなたにおすすめの記事PR