第57回
不都合な真実
(ランサムウェア編)
独立行政法人情報処理推進機構が毎年、情報セキュリティ10大脅威を発表しています。その組織に対する脅威で「ランサムウェア」が9年連続9回目のエントリで、今年を含めて4年連続の第一位となりました。今やサイバー攻撃の代名詞と言っても良いでしょう。
実際、さほどサイバーセキュリティに対する知識のない中小企業でさえ、何をさておいてでもランサムウェア対策を求めるぐらいです。
ランサムウェアはパソコンやサーバが使えなくなり、かつ身代金を要求するメッセージを大々的に表示することから、その脅威以上に印象深く、また現象(被害)がわかりやすいことから広く認知されています。しかしランサムウェアはマルウェアの一種であり、その対策も一般のマルウェア対策が基本です。つまり利用しているソフトウェアやハードウェアの既知の脆弱性の排除、マルウェア対策ソフトの導入そして運用、それに可能ならばUTM(統合型脅威管理)やEDR(端末異常検知および通報)といったセキュリティ対策システムの導入です。
マルウェアを含む一般のサイバー攻撃対策を行うことによってランサムウェアを防ぐことは可能です。しかしサイバー攻撃に対するいかなる対策も絶対とは言い切れません。対策が絶対だとしても、その運用を行うのは人間であり、ミスが有りえないとは言い切れないからです。現在ではサイバー攻撃対策の根本的な考え方として、サイバー攻撃に遭わない、成功させないのではなく、サイバー攻撃にあったとして、成功したとしても、被害を最小に抑える、いわばレジリエント、つまり回復力のあるシステムを目指しています。
ランサムウェア対策として特異なのは、強いて言えばレジリエントなシステムの強化、つまりBCP(事業継続計画)の実施です。ランサムウェアの主たる脅威はシステムの破壊です。暗号化によってOSを含むシステムやデータを暗号化、つまり破壊してしまうことです。その対策としてオフラインバックアップの推奨が挙げられます。しかしオフラインバックアップがBCPではありません。バックアップがあるからと言って、早期にシステム復元およびそれによって事業復旧が可能とは限りません。そのバックアップ自体の真贋性やバックアップの利用方法まで十分に考慮しなければならないのです。
ランサムウェア対策でのBCPにおいて、常に問題となるのは身代金の支払い可否です。結論から言って身代金を支払うべきではありません。それは「たてまえ」、あるいは社会倫理の通念からではありません。もし支払うことでBCPが完全に遂行されるなら支払うことも有りえるでしょう。
しかし広い意味での事業継続がなし得るかと言えばそれは否定せざる得ないのです。まず第一に身代金を支払ったからと言って復号鍵が必ず得られるものとは限りません。確かにランサムウェアも一つのビジネスですから、犯行側も身代金を払っても復号鍵が送られないとなると身代金を得られないようになることから復号鍵が送られてくる可能性は低くありません。しかしその復号鍵で完全に、元のシステムに復元できるかというと、必ずしも容易ではないようです。復号鍵を得られても、システムの復元に数週間要したという例も聞いています。また身代金を払うことによって、身代金を支払う会社、サイバーセキュリティ対策が十分でない会社とのレッテルが犯罪者間で共有されてしまい、さらなる攻撃を受ける可能性も高くなるでしょう。
もちろん、支払った身代金が社会福祉や慈善事業に使われることは有りえなく、更なるランサムウェアの開発や感染活動の活動資金として使われ、反社会組織にも流れることから、社会的な批判や制裁を受けることも十分あり得ます。総合的に考えると圧倒的に身代金を支払うデメリットが大きく、事業継続につながる確率が小さいことが理解できるはずです。