ランサムウェアに屈しハッカーたちに身代金を支払う企業が増えています。
米国石油パイプラインの運営会社コロニアル・パイプラインはこのほど、自社のシステムがランサムウェアに感染し企業の重要データが人質に取られたとして、ハッカーらに身代金を支払った事実を認めました。
同社の経営陣は当初、身代金の支払いに応じるつもりはなかったものと見られます。しかし、経営陣がセキュリティ関係者や弁護士などと相談するうちに人質となったデータが流出した場合に想定される取引先などへの被害が膨大なものになる事実を把握。最終的には「苦渋の決断」としながら支払いを決定しました。
この事件が米国社会に与えた衝撃は、現在もなお波紋を広げ続けています。
米国セキュリティー企業のプルーフポイント社が米国や英国など主要7か国の企業のうち従業員数200名以上が属する3,600社を対象にサイバーインシデントの発生状況を調査したところ、約2,400もの組織が攻撃を受けていたと回答しています。また、うち約52%が身代金を支払った事実を認めたといいます。(日本も約50の組織が支払いを認める)
隠ぺい図る企業姿勢
しかしながら、ランサムウェア被害は上記の調査結果ほど、世間に知られているものではありません。
これはランサムウェアの被害件数においても言えますが、それ以上に身代金を支払ったという報告例において顕著です。国内においては複数のランサムウェア被害が確認されているものの、実際に身代金を支払ったという企業は1社たりとも確認されていないからです。
原因としては、企業による隠ぺい体質が指摘されます。
通常、身代金のような支払いがあると会計を明らかにするため事実を公表せざるを得ませんが、少額であれば(身代金以外の)別の費用として処理することも可能なため、外部からはわかりにくいと専門家らは指摘します。また、特に中小企業にとって事実を公表による信用失墜も企業に非常に大きなダメージであるため、最初から事実を公表せず、無理に隠ぺいしている企業もあると指摘されています。
隠ぺいは結局攻撃者を助ける
しかし、セキュリティ業界の有識者らは「こうした企業の隠ぺい体質が、結局攻撃者たちをのさばらせる」と警告します。
実際、米国サイバー企業のパロアルトネットワークスの調査では、ランサムウェアに感染した際に企業が支払っている身代金の被害額が年々増加傾向にあると指摘。特に2020年に支払われた身代金は、前年度比3倍近くの約31万ドルに及んでいると発表しました。
また、標的対象も広がりの一途を辿っています。以前は膨大なデータを保有する大手企業が中心的なターゲットでしたが、最近では大企業を直接狙わず、大手と比べセキュリティ的に脆弱なサプライチェーンに連なる組織や中小企業を狙った例も確認されています。米国はこうした事態を深刻に見て、特定国(北朝鮮など)の関与が疑われる攻撃に対する身代金の支払いに制限をかける動きを見せています。
なお、日本ではこうした事態を受け、経済産業省が金銭の支払いを慎むべき、と表明しています。
参照ランサムウェア攻撃の要求金額は前年比の2.7倍以上に 2020年の動向を振り返る/ITmedia エンタープライズ
参照ランサムウェア攻撃受けたColonialは「通常」運用に–攻撃関与のDarkSideは運用停止か/CNET Japan
参照ランサムウェア攻撃の最新状況とデータを保護するアプローチ:前編/ZDNet Japan