身代金:支払うべきか支払わざるべきか?それが問題だ

ランサムウェアの攻撃に遭遇した場合の対応についての記事を読んでいると、時折こんな言葉に遭遇することがある。「(身代金の)支払いを検討しましょう」。そんなとき、私は深く息をついてそっとブラウザーのタブを閉じる。なぜかと言えば、このような恐喝者に金銭を支払うべきではないからだ。支払うことで犯罪活動を支援することになるだけではない。ほかにも理由がある。一つ一つ説明させていただきたい。

1. マルウェア開発を支援することになる

サイバー犯罪者、悪意を持った者、恐喝者、サイバー犯罪グループ…呼称は何であれ、彼らは皆よからぬ人々であり、彼らに身代金を支払うということは、彼らが活動の継続に必要とする収入を差し出すことと同義だ。つまり、何も悪いことをしていない人々の生活にマイナスの影響を与える活動を、支援するのと同じことなのだ。これでは悪循環にはまってしまう。彼らはあなたのデータを暗号化する、あなたは金銭を支払う、彼らは別の人のデータを暗号化する…

恐喝者たちをこの悪循環から引き離す方法は、基本的に2通りある。一網打尽にしてしまうか(時折、当社はそのお手伝いをしている)、彼らの活動の採算性を下げてまともな職を探さざるを得ない状態に持っていくか。プログラマーが相応の賃金を得られる職であることを、彼らは知らないように見える。

では、彼らの活動を割に合わないものとするには、どうすればよいのだろうか?被害者が身代金の支払いをやめればよいのだ。私の耳には反論が聞こえてくる。「それは大いに結構ですが…私たちだって、世界が平和であってほしいし、皆にとっての公正と正義を願っていますよ。でも、私のデータが今さっき暗号化されてしまったんです。あのデータがないと、会社は潰れてしまいます」。それでも、支払わないでほしいのだ。もう少し話にお付き合いいただきたい…

2. データを取り戻せない可能性がある

サイバー犯罪者との合意は決定事項ではない。署名入りの契約を交わしたわけではないのだ。百歩譲って交わしてあったとしても、法律の細かな点を尊重する犯罪者のことなど聞いたことがあるだろうか?したがって、お金を払ったという事実は、ファイルが復号されるという意味には必ずしもならない。

ExPetr/NotPetyaの例を思い出してほしい。このランサムウェアの場合、データの復号に必要な独自のユーザーIDが完全に無作為に生成されていたため、ファイルの復号は不可能だった。攻撃者たちですら、復号はできなかった。そう、どれだけお金が積まれても何の役にも立たなかったのだ。そのような例はExPetr/NotPetyaだけではない。それに、サイバー犯罪者がコーディングエラーを犯すことは珍しくない。こういったエラーのおかげで我々は復号ツールを作成できたりするが、それとは反対に、コーディングした本人ですら復号ツールを作れない場合もある。

つい最近のことだが、あるサイバーセキュリティエキスパートが、サイバー犯罪グループに対し、同グループが作り出したランサムウェアにはファイルを決定的に破損させるバグがあるので修正してほしいと公の場で呼びかけていた(英語)。笑っていいのか泣いた方がいいのか分からない。まとめよう。支払うことを決めたのなら、自分のファイルを取り戻せる保証はないのだということを肝に銘じてほしい。

3. さらなる恐喝が行われる可能性がある

実際、過去にそういうことがあった(英語記事)。ランサムウェア攻撃を受けたある組織が、データを取り戻すために6,500万ポンドという膨大な金額を支払った。その2週間後、同じ連中がまたやって来て同じデータを同じ方法で暗号化し、再び身代金をせしめていった。

この話の真の問題は、初回の攻撃でサイバー犯罪者たちが侵入に使った穴にパッチを当てるのに2週間では十分ではなかったという部分だ。一度攻撃に成功した犯罪者たちは、もう一度同じことを試す可能性がある。彼らはおそらくあなたのデータをまだ持っているはずだからだ(もしかすると削除してしまっているかもしれないが、まだ持っている可能性が高い)。

この悪循環を断ち切るには、最初から一切支払わないという選択しかない。支払えば、同じことが二度、三度、四度と降りかかってくることになりかねない。なぜかと言えば、サイバー犯罪者たちが、あなたをいいカモだと見なすからだ。

それでは、どうすべきか

あなたが(正しくも)脅迫者にお金を支払わないことに決めたとしよう。では、どうすべきか?あなたのファイルは暗号化され/盗まれ、脅迫者は盗んだデータを一切合切公開してやると脅している。取るべき行動は次のとおりだ。

落ち着いて、復号ツールを探すこと。このWebサイトまたはこのWebサイトで見つかる場合もあるし、後からツールが出てくる場合もある。当社では、マルウェア調査および侵入者特定の過程で、こうしたツールの開発や更新を行っている。

保護システムの購入元ベンダーに相談すること。まずは、ファイルが暗号化されるという事態がどのように発生したのかを突き止めよう。それから、ファイルの復号に関してベンダーにヘルプを求めよう。ベンダー側ではどうすべきかを知っているかもしれないし、価値ある顧客であるあなたの力になりたいと考えることだろう。あなたの会社のセキュリティについて優先的に考えてくれるだろうし、また、自社の評判についても思いをめぐらすだろう。セキュリティの会社にとって貴重な機会なのだから。

そうは言っても、そもそも感染しないように防御を強化することの方が良策だ。支払いはしない!皆が支払いをやめれば、恐喝者どもは徐々に不正行為をやめ、世界は少しばかり安心できるようになることだろう。

コメントを読む 0
コメントを書く