ランサムウェア：身代金要求と支払いは増加の一途をたどる

2023.08.28

2023年8月17日、Tony Burgess

このサイトや他のサイトで何度もお読みいただいているように、ランサムウェアは今なお世界中のあらゆる組織に影響を与えるサイバー脅威のトップです。そして、ランサムウェアの攻撃者が要求する金額は劇的に膨れ上がっています。最近でも、なんと身代金 20 億ドル（約 2000 億円）というケースがありました。

セキュリティ機関や企業は、ランサムウェアの攻撃を受けても身代金を支払わないよう再三推奨しているにもかかわらず、多くの組織は支払っています。しかし、場合によっては、当初の要求額よりも低い金額で交渉できることもあります。

2021年と2022年に発生した身代金要求と支払額のうち、最も大きなものをいくつか紹介しましょう。

- エイサー・コンピューターが REvil によるランサムウェア攻撃を受け、5000万ドルの身代金を要求された。エイサーは 1000万ドルの支払いを申し出たが、REvil はこれを拒否した。
- DarkSide は大手化学品販売会社ブレンターク（Brenntag）を攻撃し、750万ドルの身代金を要求。ブレンターク社は 440万ドルの支払いを申し出、これが受け入れられた。
- Conti ランサムウェアに攻撃されたアイルランドの公的医療サービスヘルスサービスエグゼキュティブ（HSE）は、要求された 2000万ドルの身代金の支払いを拒否した。
- JBSフーズは 2250万ドルの要求を受けた後、1100万ドルを REvil に支払った。
- 保険大手の CNA は、Evil Corp に要求された 6000万ドルの身代金のうち 4000万ドルを支払い、影響を受けたすべてのシステムを完全に復旧させることができた。
- シュライバー・フーズは、攻撃を受けて複数の工場の閉鎖を迫られた後、250万ドルの要求に直面した。支払ったかどうかは明らかにしていない。
- コロニアル・パイプラインは、攻撃の１日後、DarkSide が要求した身代金 500 万ドルのほぼ全額を支払った。
- デラウェア郡当局は、サイバー保険会社に2万5000ドルの免責金額を支払い、その後、DoppelPaymer ランサムウェア犯罪団に未公表の身代金額を支払った。
- イギリスのゴミ収集会社アメイPLCは、20億ドルという息をのむような身代金要求を受けたが、どのように対応したかは明らかにしていない。

なぜ支払ってはいけないのか

この短いリストだけでもわかるように、ランサムウェアの犯罪軍団が要求する身代金の少なくとも一部を支払う組織は珍しくありません。しかし、前述したように、セキュリティおよび法執行機関は異口同音に、このようなペテン師に何も支払わないよう忠告しています。

なぜ支払ってはいけないのでしょうか。まず第一に、犯罪者が取引の約束を守り、被害に遭ったデータのロック解除や復号化を行う保証はありません。さらに、仮に犯罪者があなたのデータを解放することを選択したとしても、いったんお金を払ってしまえば、身代金を支払う組織として知られてしまいます。これは、犯罪者からも、あなたが支払う意思があることを知った他の犯罪者からも、さらなる攻撃を引き付けることは確実です。

ランサムウェア攻撃が成功すれば、身代金を支払う・支払わないにかかわらず被害を受けた側にはコストがかかることになります。であれば、ランサムウェア犯罪に関与して利益を永続させるよりも、弾丸を受け止め、データ回復のために必要なことを行うほうが、長期的にはよいことなのです。もし誰もお金を払わなければ、攻撃は止まるでしょう。

ではなぜ組織は身代金を支払うのか

状況はそれぞれ異なりますが、ランサムウェアに感染した組織が身代金の支払いを選択する理由には、いくつか共通項があります。

- 計画性の欠如：攻撃にどう対応するかについて包括的な計画を立てている組織は、身代金を支払う可能性が極めて低く、支払う代わりに計画に従います。しかし、計画がない場合、突然ランサムウェアに感染したことに気づき、大きなショックを受けます。パニックに陥り、問題を解決する最善の方法に見えるので、即座にお金を払うしか選択肢はないと思うかもしれません。
- サイバー保険への過度の依存：サイバー保険に加入し、保険会社が身代金を支払ってくれるからもう心配することはないと考える組織もあります。しかし、保険は無料ではありません。免責金額を支払った後、インシデントが発生すると保険料は上がる可能性が高くなります。あるいは保険が打ち切られるかもしれません。最悪の場合、保険会社はインシデントを調査し、セキュリティ・インフラが保険会社の要件に準拠していなかったと結論づけ、保険金の支払いを拒否することもあります。
- 不十分なバックアップ：要求されている身代金を支払う必要がないことを保証する非常に簡単な方法が１つあります。高品質のデータ・バックアップ・ソリューションを使うことです。正直なところ、地方自治体や大企業が身代金の支払いを余儀なくされたり、長く困難でコストのかかる復旧作業を強いられたという話を聞くたびに、私は信じられない思いで首を振ります。そのような事態を避けるために必要なのは、優れた最新のバックアップ・ソリューションなのです。

いっさい支払わずに済ませる方法

先ほど述べたように、ランサムウェア攻撃を受けても最悪の場合でも「小さな不便」レベルでとどまるようにする最善の方法は、高度なバックアップソリューションです。言うまでもなく、筆者は Barracuda Backup と Barracuda Cloud-to-Cloud Backup を強く推奨します。また、古いバックアップソリューションがなぜ適切ではないかを理解しておくことは重要です。

ランサムウェア攻撃者はバックアップがアキレス腱であることを知っているため、バックアップを探し出し、ファイルを暗号化または破壊するランサムウェアを設計しています。したがって最新の優れたバックアップ・ソリューションは、そのようなマルウェアからデータを効果的に隠すことができなければなりません。

さらに、高速できめ細かなリカバリーが可能でなければなりません。テープベースのバックアップ・システムの管理担当者なら、暗号化されたサーバー数台分のデータを探してリカバリーしなければならないと考えただけで２週間ほど病欠すると会社に連絡を会社に入れたくなる気持ち、わかるでしょう。それはかなり長い間、チーム全員の時間を奪う作業となり、退屈でイライラすることでしょう。一方、バラクーダのような最新のソリューションでは、プロセスは簡単で高速であり、長くても１～２日、場合によっては数時間で通常業務に復帰できます。

防止策

もちろん、そもそもランサムウェアの攻撃を受けないのがベストです。100％防ぐ魔法の弾丸はありませんが、リスクを最小限に抑えるベストプラクティスは確立されています。

- Barracuda Email Protection のような包括的で最新のメールプロテクションプラットフォームは、高度なユーザートレーニングと、ランサムウェア攻撃の大半の原因である内部および外部のフィッシングの試みを AI で検出する機能を組み合わせています。フィッシングの試みを検出し、全員の受信トレイから迅速に削除することで、多くのランサムウェアリスクを排除できます。
- ランサムウェア攻撃は、アプリケーションレイヤーアタックによって開始されることが多くなっているため、優れた Web アプリケーションと API の保護（WaaP）のソリューションは、ランサムウェア対策インフラストラクチャの重要な一翼を担います。非常に強力で、信頼性が高く、多機能な Barracuda Application Protection プラットフォームを参照することをお勧めします。このソリューションは、API 攻撃、高度なボット、クライアントサイドの脅威、DDoS 攻撃などを排除する機能を実装しています。
- ゼロトラスト・アクセスコントロールは、従来のネットワークアクセスクレデンシャルが盗難にさらされ、脅威要因によって大量に売買されることが多くなっている今日の状況において、セキュリティの新しい基準を設定します。Barracuda Zero Trust Access は、スタンドアロンソリューションとして、または Barracuda SecureEdge の一部として実装されています。

ここから得られる究極の教訓は、ランサムウェアの犯罪者がより大胆になっていて、これまで以上に高額な身代金の支払いを要求しているということです。そして、人々や組織が身代金を払い続ける限り、その傾向は続くでしょう。だから、支払ってはいけません。

支払わない最善の方法は、ランサムウェアの被害に遭わないこと、あるいは、最悪の事態に備えてバックアップを確実に取っておくことです。さあ、自社を守るために強力なバックアップ・ソリューションを導入し、万が一ランサムウェア攻撃を受けた場合の対応計画を立て、リハーサルを行いましょう。