検索
特集

ランサムウェア身代金支払いは事態を悪化させる? 最善の意思決定をするには

ランサムウェアは金銭的な被害だけでなく、企業の評判や信頼を失墜させる深刻な経営リスクだ。では具体的にランサムウェアに対してどう備えればいいのか。Gartnerのアナリストが道筋を示した。

Share
Tweet
LINE
Hatena

 KADOKAWAグループのランサムウェア被害は、多くの企業にとって「もしランサムウェアを含めたサイバー攻撃に遭ったらどうすればいいのか」を考える契機となった。

 ランサムウェアがもたらすのは、いまや金銭的な被害だけでない。企業の評判や信頼を失墜させる深刻な経営リスクともなり得る。企業にはこのインシデントを“他山の石”としてセキュリティ改善に積極的に乗り出すことが求められるだろう。では具体的にランサムウェアに対してどう準備すればいいのか。

 ガートナージャパン(以下、ガートナー)は2024年7月24〜26日、都内で「セキュリティ & リスク・マネジメント サミット」を開催した。

 2024年7月26日には、Gartnerのクリス・シルバ氏(バイスプレジデント アナリスト)が登壇し、「ランサムウェア:身代金を要求された場合に考えること」と題してランサムウェア脅威と攻撃者の実態や、最善の決断を下すために具体的にどのような手順を踏めばいいかを解説した。

ランサムウェアは身代金を支払えば解決するのか?

 シルバ氏ははじめにランサムウェアによる身代金要求を“家族旅行”に例えて説明した。


Gartnerのクリス・シルバ氏(バイスプレジデント アナリスト)

 「誰もが経験したことがあるだろう。車に荷物を詰め込み家族と出発する。見たいものや立ち寄りたい場所のスケジュールも決まっている。しかし旅行が始まって5〜10分で誰かが『あそこに寄りたい』とか子どもが『おやつがほしい』といった駄々をこね始める。私たちはトラブルや皆の意見を聞きながら、グループを前進させる必要があるが、さまざまなことを考えるストレスと戦いつつ最善の決断や最も論理的な決断を下すのは困難だ」(シルバ氏)

 ランサムウェアインシデントでは身代金を支払うことで全てが解決すると思われがちだが、より事態を複雑にする可能性もある。シルバ氏によると、一度身代金を支払った組織がその後、同じランサムウェアグループに再度多額の身代金を要求されたり、別の犯罪組織に目を付けられたりするケースもあるという。

 このように進むべき道が明確ではない現状においてシルバ氏は以下3つの事柄を理解することが重要だと話す。

  1. ランサムウェアのビジネスモデルを理解する
  2. 行動を起こし意思決定を下すための情報を得る
  3. 3つの領域に焦点を絞って備える

 以下で順を追って見ていこう。

1.ランサムウェアのビジネスモデルを理解する

 昨今のランサムウェアグループのうち、その多くは金銭的な動機に基づいて標的に攻撃を仕掛けている。つまりランサムウェアは非合法のビジネスと言っていいだろう。

 シルバ氏によると、ランサムウェアグループのメンバーは採用活動によって優秀な人材が集められる他、グループの中にはボーナスを支給するところもある。また、「Ransomware as a Service」(RaaS)のようにツールを開発してダークWebの犯罪者たちに販売するケースもあることから、ランサムウェアは地下経済における大きな市場になっていると理解すべきだ。

 次にランサムウェアグループに金銭を支払う行為は彼らがさらなる攻撃を仕掛けるための資金を提供することにつながると認識する必要がある。ランサムウェアグループは被害企業から得た金銭で、難しい技術開発を進めてより高度な侵入手口を確立してその取引先やパートナー企業に攻撃を仕掛ける可能性もある。

 シルバ氏は「実際、一部の国では身代金の支払いが脅威活動の支援や将来の攻撃への資金提供、ランサムウェアグループに対する世界的な制裁への違反と見なされている。攻撃者たちと会話したり、交渉したりすること自体が既にリスクだといえる」と語る。

 「つまりランサムウェアインシデントはビジネスの問題であり、経営幹部や社内の法務チーム、法執行機関、規制委員会、IRチームを巻き込んで考えるべきだ。法律の専門家たちは、企業がランサムウェアグループと関わることでどのような損失をもたらすかを教えてくれるだろう」(シルバ氏)

 この他、企業内でランサムウェアインシデントに関わるメンバーの役割と責任の明確化、周知は非常に重要だ。「支払うかどうかの最終的な決定権を誰が持っているのか」「それを全員が知っているのかどうか」「決定を下すための指揮命令系統はどうなっているのか」「その決定はどのように伝達されるのか」など考えるべきことは多くある。これらは机上演習やロールプレイによって鍛えられる。

2.行動を起こし意思決定を下すための情報を得る

 ランサムウェアインシデントのような非日常において最善の意思決定を下すためには正しい認識や情報を持っていなければならない。「バックアップを取得しているからウチは大丈夫」というのは誤った認識の最たる例だ。

 Veeam Softwareの年次グローバル調査レポート「2024 Ransomware Trends Report」によると、ランサムウェア攻撃の96%はバックアップを狙ったものであることが分かっている他、身代金を支払ってもデータを復旧できなかった割合は24%、身代金を支払わずにデータを復旧できた割合はわずか13%だったという。

 シルバ氏は「無事にデータを復旧させることも簡単ではない。データの復号は時間がかかるし、エラーも発生しやすいプロセスだ。また、身代金を支払って攻撃者から提供される復号ツールは保証やSLA(サービスレベル合意)もなく、クラッシュまたは失敗する可能性がある」と指摘する。

 これを回避するにはどうすればいいのか。シルバ氏は以下の3つを実践することが重要だとする。

  1. バックアップセキュリティのベストプラクティスを導入し、重要なシステムと情報資産に焦点を当てる
  2. 全ての重要データをバックアップし、追加の保護策を検討する
  3. 復旧プロセスを定期的にテストする

3.3つの領域に焦点を絞って備える

 ランサムウェアの実態と適切な情報を得られたら、いよいよ具体的な対策を講じるフェーズだ。シルバ氏は重点的に対処すべき3つの領域を示した。

1.ベースラインの保護

 まずは基本的な部分の確認が重要だ。シルバ氏はベースラインを保護できているかどうかを確認するために以下の質問を投げかけた。「これらの質問を私が尋ねたときに自信を持って『はい』と答えられる組織はまれだ」(シルバ氏)

  • 資産状況を一元的に把握できているかどうか
  • インシデント対応のプレイブックに復旧を支援する社外のサービス関係者は含まれているかどうか。RACI情報は最新かどうか
  • 防御の監査やペネトレーションテストを実施しているかどうか

2.状況に合わせたリスクの理解

 2つ目は状況に合わせたリスクの理解だ。シルバ氏はこれについても同様に幾つかの質問を投げかけた。

  • エクスポージャの評価指標は組織の状況を測っているかどうか
  • ビューは資産の重要性を測っているかどうか
  • 現在のツールで特定状況における構成と対策を検証できるかどうか

 これを測る上で有効な“方程式”としてシルバ氏は以下を提示した。


リスクを測定するのに有効な“方程式”(出典:Gartner発表資料《2024年7月》)

 「脆弱(ぜいじゃく)性の重要度だけを見ていたら、これを常に追い求めることになり対処すべき重要な設定ミスやギャップを見逃してしまうかもしれない。そこで脆弱性に対して資産の重要度を掛け合わせ、これに応じた緩和策を検討するのがリスクを文脈化するということだ」(シルバ氏)

3.運営計画の策定

 最後は運営計画の策定だ。先ほど説明したように、意思決定プロセスを明確にし、セキュリティ部門だけでなく非IT部門とうまく協力しなければランサムウェア対応は失敗するだろう。これを実施できているかどうかを確認するための質問は以下の通りだ。

  • IRや交渉のリテーナー契約はあるかどうか
  • どの関係者がどの意思決定をすべきか、非IT部門のどのスタッフが対応するのか
  • 復旧サービスとバックアップのSLAは最新かどうか

 シルバ氏は「ランサムウェアに備えるために、事前準備と基本的なプロテクションの確認が重要だ。そしてリスクを文脈化し、対策を判断するためのフレームワークを構築する。さらに運営計画を立て、チームをまとめて演習を実施することが必要だ」と締めくくった。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る