感染しても攻撃者に
身代金は支払わない

 ランサムウェアの攻撃の手口も、不特定多数を攻撃する「ばらまき型」から、特定の企業・組織を標的にする「オーダーメード型」へと巧妙化してきている。データを暗号化して身代金を要求する手口に加え、「データを盗み取って、身代金を支払わなければデータをインターネット上で公開すると脅す『二重の脅迫』の手口もあります」と満永准教授は近年の攻撃手法を説明する。

 20年11月には、ゲーム会社カプコンがオーダーメード型ランサムウェアの攻撃を受け、データの暗号化に加え、取引先や採用応募者などの個人情報が流出するという事案が発生した。ランサムウェアの被害に遭った場合、データバックアップを取っていなければ、データを諦めるか身代金を支払って復旧するか二者択一の判断が迫られることになる。

 前述の病院もカプコンも、攻撃者に身代金を支払うことはしなかったという。「攻撃者に金銭を支払うと、犯罪者への利益供与と見なされる可能性があります。海外ではランサムウェアの支払いを行うと罰金を科されることもあります。ランサムウェアに感染した場合でも、金銭の支払いを拒否するというのが原則です」と満永准教授は話す。

 実際問題として、金銭を支払っても、データが元通りに復旧するとは限らない。また、攻撃者への利益供与がステークホルダーからコンプライアンス違反と見なされ、社会的な信用失墜にもなりかねない。加えて、攻撃者が集まるネット上のブラックマーケットでは、ランサムウェアなどのマルウェアを生成するツールも出回っているという。一度でも金銭を支払うと、再び標的にされるリスクもある。

 一方で、企業の機密情報や個人情報などの重要な情報資産が漏洩してしまった場合、顧客・取引先への損害賠償といった経済的損失だけでなく、社会的評価の低下など甚大な被害を受ける。「ランサムウェアに感染して、大事なデータが人質に取られてしまった企業から相談を受けることがありますが、残念ながらその時点で既に手遅れではあります。まずは感染被害を防ぐ対策を講じることが重要です。さらに、感染被害を防ぐ対策を講じるだけでなく、万が一感染した場合に備えて、被害を最小限に抑えられるよう、予算と人を確保しておくことが重要です」と満永准教授は強調する。

 その対策の一つがデータバックアップだ。データが暗号化されても、バックアップを取っていれば、業務を止めることも、身代金を支払うこともない。ただし、全てのデータをバックアップするとなると、ストレージのコストや運用管理の手間がかかる。

 そのため、「業務継続に必要な重要資産を切り分け、そのデータをバックアップする方法もあります」と満永准教授は助言する。ランサムウェア対策のみならず、自然災害などから情報資産を守り、業務を継続するBCP対策としてもデータバックアップは有効だ。