「保険加入を知られるな」NCC GROUP研究者がランサム交渉論文を発表



英国マンチェスターのサイバーセキュリティコンサル事業者NCC GROUPはこのほど、ランサムウェアに感染して脅迫行為を受けた企業が、ハッカーたちから身を守る方法や交渉術を記載した論文を発表しました。

同社によれば、論文はグループ企業のFox-IT社に所属する研究員Pepijn Hack氏らが提唱したもので、2019年~2020年にかけて発生した700件以上のランサムウェア被害事例を分析し、その経済モデルや被害企業が取るべき初期対応や交渉術などをまとめたもの。

「脅迫文への反応を遅らせれば有利になる」、「感染情報流出にメディア対策は有効」、「サイバー保険の加入を知られてはいけない」など、ランサムウェアをビジネス的見地から分析し、感染後に有効な初期対応や交渉術を、成功例や失敗例を交えながら紹介しています。

サイバー保険加入を悟られるな

NCC GROUPが公開した論文は、企業はランサムウェア感染後の身代金交渉を行う場合、「サイバー保険加入を知られてはならない」としています。具体的な対策は、サイバー保険に関連する文章等を外部アクセス可能なサーバー内に格納しないことや攻撃者との交渉時に保険加入の事実を隠ぺいするなどです。

理由は、仮に攻撃者に保険加入の事実を知られた場合、攻撃者は身代金要求額を補償範囲の限度額まで引き上げる可能性が高いからです。論文は主張の裏付けとして、被害企業が攻撃者に身代金について相談した事例について触れていますが、この事例では、攻撃者が被害企業が保険に加入している事実を把握しており、要求額を補償限度額の3万ドルまで引き上げました。攻撃者は「保険に加入しているんだから払えるだろう」と終始強気な態度に出ており、保険加入の事実が流出したがために交渉の立場が著しく不利になったものと見られます。

なお、論文はサイバー保険会社から攻撃者に支払いの意思がないことを伝えてもらうこともできるが、これは被害企業にとって有効な選択肢が厳しく制限されることに他ならず、やはり不利になると分析しています。また、サイバー保険に加入しないという選択もあるが、PepijnHack氏は「実際に攻撃を受けた際に被害が深刻になる可能性がある」と分析しています。

交渉前に有効な4つの対策

論文はまた、感染判明時に企業側が交渉前対策を取ることで、交渉を優位に進めることができるとしています。

1つ目は「ランサムウェアに感染し脅迫メールを受け取っても、すぐに返信したり開封しないこと」です。ランサムウェアは身代金を要求する際に支払期限を設定しますが、タイマーのカウントはレスポンス時に発生するケースが多いため、わざと反応を遅らせ時間を稼ぐ手が有効としています。

2つ目は交渉の着地点を決めることです。ランサムウェアはデータを暗号化してしまいますが、場合によっては復元できるケースもあります。論文は、交渉においては身代金の支払い額を抑えたいのか時間を稼ぎたいのか、交渉前に立場を決めておく姿勢が大切だとしています。

3つ目は対応に関わる部門や機関との連携を確立することです。ランサム感染はIT部門だけでなく危機管理チームや取締役会も把握すべき事実です。また、サイバー保険によるカバーも必要になるため、補償範囲の確認や対応可能な弁護士とも連絡をつけておく必要があります。さらに、近年は攻撃者が被害企業に圧力を加えるため感染の事実をメディアに流出するケースがあり、広報部などによるメディア戦略も必要としています。

最後は、犯人についての情報をリサーチすべきとしています。交渉を優位に進めるためには、ファイルの複合ツールに関する情報や攻撃者が信頼できる相手であるか、メディアに情報流出を行うタイプであるか、などの情報が必要ですが、インシデント対策を専門としている企業などがこうした情報を有している可能性があるからです。

なお、論文はこのほかにもいくつか有効な対策を説明。実際に交渉に入った際に留意すべきポイントや交渉テクニックも紹介しています。

〈参照〉“We wait, because we know you.” Inside the ransomware negotiation economics./NCC GROUP