ランサムウェアに身代金は払うべき？調査結果から考える、セキュリティ責任者が持つべき心構え

国内企業を狙ったランサムウェア攻撃は年々増加しており、企業はその対策に追われています。ランサムウェアのリスクをゼロにすることがはできない以上、肝心なのは事後対応ですが、企業によっては攻撃者の脅迫に屈し、身代金を支払ってしまうケースも確認されています。

ランサムウェアは身代金を要求する攻撃ですが、果たして攻撃者の要求に応えることは、どのような結果をもたらすこととなるのでしょうか。

この記事では、ランサムウェア攻撃を受けた企業の対応に関する調査結果から、セキュリティ責任者がとるべき意思決定や心構えについて考えていきましょう。

ランサムウェアによる被害は拡大傾向に

企業を狙ったランサムウェア攻撃は、攻撃者にとってリターンの大きなサイバー攻撃であることが知られるようになって以来、被害が増加の一途をたどっています。セキュリティを扱う日本法人WithSecure (本社: フィンランド・ヘルシンキ、以下、ウィズセキュア)が発表した2024年上半期版の「最新ランサムウェア脅威レポート」によると、2024年上半期のランサムウェア攻撃件数やランサムウェア攻撃に紐づく身代金支払額は前年や一昨年の同期間に比べ上昇しているとのことです。

世界で増加しているのはもちろん、国内においてもその数は増えており、大企業よりも中小規模の事業者がターゲットとして選ばれる傾向にあります。

日頃ニュースで目にするのは大企業を狙ったサイバー攻撃ですが、その陰では何倍もの数の中小企業が、サイバー攻撃にさらされていると考えるべきでしょう。

意外にも多い、身代金支払いに応える企業

もう一つ興味深いデータとして上げておきたいのが、ランサムウェアによる身代金要求に企業はどう応えているかです。ガートナーの調査によると、ランサムウェア攻撃を受けたことがあると回答した企業のほぼ半数は、身代金を支払っているということでした。

ほぼ半数の企業が払っているというデータは、ランサムウェア攻撃がビジネスとして成立しているからこそ増加していることを裏付ける事実でもあります。攻撃者の要求には応えず、身代金の支払い以外の方法で問題を解決することが推奨されているものの、現場では真逆の反応が起きているのが現状というわけです。

身代金を支払っても救われるとは限らない

ランサムウェアの攻撃者は、身代金を支払えばシステムのロックを解除すると標的に対して脅迫を行います。しかし冷静に考えたいのは、法を犯して金銭の要求をするような攻撃者が、果たしてそのような取引をフェアに行なってくれるのかという問題です。

残念ながら、ランサムウェア攻撃の身代金支払いに応じた場合でも、望んでいるような結果を得られないケースが多いというデータも出てきています。上で紹介したガートナーの調査では、身代金の支払いに応じた企業の68%は、1ヶ月以内にさらに多額の身代金を要求されたことも判明しており、取引は事実上成立していないのと同等と言えるでしょう。

また、ランサムウェア攻撃を受けた場合、その被害はシステムロックだけにとどまらないことがあります。身代金の支払いによってシステムロックを免れても、会社の機密情報はすでに売買されているなどのケースも考えられるなど、リターンの少ない選択であると言えます。

ランサムウェア感染時、セキュリティ責任者が注力すべきことは？

ランサムウェア攻撃を受けると、攻撃者からの要求が標的に伝えられますが、この際セキュリティ責任者が取り組むべきは、事態の収拾に向けた復旧作業であると、ガートナー社のバイス・プレジデント・アナリストであるクリス・シルバ氏は語ります。

ランサムウェア攻撃を受けると、攻撃を受けた企業は身代金の支払いに応じるか、応じまいかの選択肢が与えられているように錯覚しますが、実際には応じないの一択であることがわかります。身代金の支払いに応じても、期待しているようなリターンが得られるわけではないばかりか、被害が拡大するリスクも孕んでいるからです。

セキュリティ責任者は、システムの早急な復旧と損失の最小限化です。少なくともランサムウェアの要求に与するのは、職務を全うすることにはなりませんし、彼らと交渉を試みるのも時間の無駄に終わると考えるべきでしょう。