注目されるランサムウェア対応：ランサム支払いに関して企業・組織は何を準備すべきか？

Author: Michitaka Arima

ランサムウェアが、情報処理推進機構（IPA）の情報セキュリティ10大脅威で1位にランキングされてから、数年が経過しました。その間、多くの組織にとってランサムウェアが最も重大な情報セキュリティリスクであるとの認識が広がる一方、2023年には名古屋港のコンテナターミナルがランサムウェア攻撃を受けて3日間操業を停止、2024年に入っても小売業や出版業の大手企業がランサムウェア攻撃を受けて売上公表延期や業務停止に至るなど、ランサムウェア被害の事例が後を絶ちません。

特に、昨今のランサムウェア被害のメディア報道の増加を受けて、ランサム（身代金）支払いの是非に関して、問合せを受けるケースが増えてきました。今回はランサム支払いというトピックを中心に、企業・組織に求められるランサムウェア対応準備について深堀りします。

ランサムの支払いに関する是非とリスク

コントロール・リスクスでは日本の企業・組織を含め、多数のお客様に対してサイバーセキュリティインシデント対応の支援サービスを提供していますが、ランサムの支払いに関しては一貫して慎重になるべきであるとアドバイスしています。これは以下の理由によります。

• ランサム支払いによってデータが復旧される保証がない。少なくないサイバー犯罪集団が、自らの「評判」*¹ を考慮しながら被害者のデータ復旧に応じていることは事実ですが、ランサム支払いがデータ復旧に繋がる保証はありません。
• 追加で恐喝を受ける可能性がある。仮にランサムを支払ってデータが復旧されたとしても、盗み出したデータをインターネット上で公開する、サイバー攻撃の被害に遭ったことを当局や取引先に密告する、など追加の恐喝が行われる、いわゆる「多重恐喝」と呼ばれる手口が一般化しつつあります。このため、一度のランサム支払いではインシデントが解決しない可能性が高くなっています。
• ランサム支払先によっては外為法等に違反する可能性がある。一般的なケースではありませんが、経済制裁の対象になっているサイバー犯罪集団にランサムを支払った場合、外為法の違反や米国財務省外国資産管理室（OFAC）の規制違反に問われる可能性が生じます。
• ランサム支払いに道義的な問題がある。サイバー犯罪集団へ支払われたランサムは、今後のランサムウェア攻撃のための活動資金となり、さらなる被害を誘発します。このことは世間一般にもある程度浸透していることから、ランサム支払いの事実が公になった場合、組織の評判にマイナス影響を及ぼす可能性があります。

これらの理由から、組織によってはサイバー犯罪集団との交渉を含む一切のランサム支払いを禁止する、いわゆる「No-Pay」ポリシーを制定していることも少なくありません。ガートナージャパンの調査によると、国内組織の22.9％がそのようなポリシーを制定しており、日本におけるランサム支払い率の低さ*² に貢献していると推測されます。

一方で、日本国内においてランサム支払いを明確に禁止する法制度は存在せず、ランサムウェア被害の規模や、ランサムウェア感染によって停止したシステム、業務の内容によっては、上記リスクを踏まえたうえでも、ランサム支払いを検討せざるを得ない場面に直面する可能性を想定する必要があります。

ランサム支払いに関して検討すべきこと

組織がランサムウェア被害への対応・準備について検討する際には、まずワーストケースの被害シナリオを考慮することが重要です。ランサムウェアへの対策としてバックアップが有効であるとの理解が広がりつつありますが、警察庁による広報資料「令和５年におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェア被害を受けた事例のうち94%においてバックアップを取得していたものの、被害直前の水準まで復元できた事例はうち17％に留まっており、多くの組織において、望まれるバックアップ水準と、実現できているバックアップ水準との間にはギャップがあることが示唆されています。

バックアップデータ自体がマルウェア等で汚染されてしまう可能性もあり、バックアップを含むデータ保護ソリューションを提供するVeeam社の調査によると、ランサムウェア攻撃の94％において攻撃者はバックアップデータを攻撃対象としており、うち75%の事例において、被害者のデータ復旧能力に何かしらの悪影響を及ぼすことに成功しています。重要データがバックアップされているからとランサムウェア対応の準備を怠ると、想定外の被害が生じた際に迅速な対応を行うことができない懸念があります。

ランサム支払いに関しては、「No-Pay」を含めたランサム支払いのポリシーを事前に検討、明文化する必要があるでしょう。ここで特に重要となるのは、ランサムウェア被害を受けた際に、事前に定めたポリシーから逸脱することは望ましくないという点です。例えば、「No-Pay」ポリシーを定めているにも関わらず、予想より被害が大きかった等の理由でランサム支払いをその場の判断で行うと、インシデント対応チームが混乱することで意思決定が遅れる、準備不足によって犯人との交渉が効果的に行えない、意思決定に対する隠れた不満が発生する等のリスクが発生します。

もしランサム支払いを検討する可能性が僅かでもあると判断される場合、ランサム支払いに至るまでの判断基準、プロセス等をインシデント対応計画の一部として明確に定義すべきです。その一環として、ランサム支払いに関する基準やプロセスについて、社内外のステークホルダーと丁寧な議論を重ね、理解を得ることも重要となるでしょう。万が一の事態に直面した際の混乱を抑止する効果が期待できます。

また、ランサム支払いに関するポリシーが確立された後は、定期的なサイバーセキュリティリスクの見直しや、サイバーセキュリティインシデント対応訓練の実施を通じて、支払いポリシーの妥当性、判断基準の有効性、支払いプロセスの抜け漏れの有無等を継続的に検証、改善することを推奨します。

コントロール・リスクスの提供価値

コントロール・リスクスのデジタル・リスクの専門家チームは、ランサムウェア被害を含む多くのインシデント対応支援の経験を有しています。ランサムウェア被害を受けた際の対応支援はもちろん、インシデント対応から得られた知見に基づき、お客様のインシデント対応計画のレビューや改善、サイバーセキュリティインシデント対応演習の計画・実施支援など、ランサムウェアに対する対策、準備について幅広いご支援が可能です。

例えばサイバーセキュリティインシデント対応演習では、仮想の重大サイバーインシデントへの対応について経営層を交えて議論することで、ランサム支払いの是非に関するステークホルダーの意見収集、判断基準の合理性の検証、インシデント対応プロセスの関係者への周知・浸透度の確認など、様々な観点からのご支援を行っています。

より詳細な情報や具体的なご相談などございましたら、下記フォームよりお気軽にお問合せください。

*¹ ランサムを支払ってもデータ復旧してくれない集団だという評判が立つと、ランサムを得られる可能性が低くなるため、ランサムを支払った被害者に対してはデータ復旧を行うインセンティブが存在すると考えられています。

*² 電子メールセキュリティを中心としたセキュリティソリューションを提供するProofpoint社の調べによると、日本は2020年から2022年まで、調査対象国の中ではランサム支払い率が最低でした。ただし2023年の最新調査ではイタリア、フランスに次ぐ3位に後退しています。