日本も人ごとではない。狙われる業務データ｢身代金の支払い｣は経営判断…ランサムウェア対策ツール企業トップが語る

｢ランサムウェアにやられた企業はいとも簡単にビットコインなどの暗号資産（仮想通貨）で支払いを選択してしまう。時には正しい復号化鍵をもらえることもあるし、もらえないこともあるのに、だ｣

2014年に設立されたバックアップツール企業のRubrikは、5月17日に開催された同社の年次イベント｢FORWARD 2022｣の中で、大流行するランサムウェア（身代金攻撃）に身代金を払う企業が後を絶たないことを指摘した。

ランサムウェアとは、企業のITシステムにマルウェアとして入り込みデータを暗号化して身代金を要求するマルウェア（悪意のあるソフトウェア）のことだ。

決して少なくない企業が身代金を払ってしまうのは、一体それはなぜなのだろうか？

日本でも2021年後半には前年比4倍の被害届が提出

ランサムウェアが、企業や個人が所有するPCなどにさまざまな形で侵入すると、そこにあるデータを勝手に暗号化してしまう。

悪意あるユーザーは、企業や個人に対して｢データを復号化（暗号化を解いて元に戻すこと）するための『復号化鍵』が欲しければ、ビットコインのような仮想通貨で身代金を払え｣という手口で金銭を要求する。

ランサムウェアが話題になったのは、最近ではデンソーのドイツの拠点がランサムウェアによって攻撃されたと報道されたことが記憶に新しい。今なお、その被害は拡大している。

Rubrikの共同創業者でCEOのビプル・シンハ氏は、｢今や11秒ごとにどこかの企業がランサムウェアの被害にあっている｣と説明する。日本でも被害は拡大傾向だ。警察庁が公開している｢令和3年におけるサイバー空間をめぐる脅威の情勢等について｣によると、2020年後半には21件だったランサムウェア被害報告件数は、2021年前半には61件に、後半には85件と増加傾向にある。

さらに被害にあった際の｢コスト｣をみると、背筋が寒くなる数字が並ぶ。同資料によると｢復旧に要した費用は1000万円以上｣と復旧に高額の費用がかかっている企業が、全体の43%を占めているという。

前出のRubrik代表のロジャース氏によると、アメリカでも｢多くの企業は支払う方を選択する｣という。ただ、ロジャース氏は、

｢アメリカの医療機関での例だが、こうしたランサムウェアによる攻撃に直面した企業のうち、実に60%が仮想通貨で支払うことを選択している。問題はその送られてくる復号化鍵は本物の時もあれば、そうではない時もあるということだ。多くの企業は支払う方を選択する｣

と言う。

ロジャース氏が指摘しているように、攻撃者による脅しに屈してビットコインなどで｢身代金｣を支払ったとしても、送られてくる復号化鍵が本物であるという保証はどこにもない。

それでも、身代金を支払ってしまう企業は後を絶たない。その理由は、ある種の｢経営判断｣にあるとロジャース氏は指摘する。

被害企業が身代金を払ってしまうのは｢経営判断｣？

ロジャース氏によると、企業がそうした判断を下すのは、CTO（最高技術責任者）やCIO（最高情報責任者）などのITに精通した責任者ではなく、CEO（最高経営責任者）などの経営者層であることが多いとする。

なぜ経営者層は｢身代金を支払う｣という経営判断をしてしまうのか？

仮想通貨とはいえ、換金可能な資産を使って払ってしまうことを社会に知られれば｢反社会的勢力に金銭を支払った｣と言われてブランドが毀損される危険性があるし、既に述べた通り本物の復号化鍵が送られてくる保証はどこにもないのにだ。

ロジャース氏はこう言う。

｢経営者は純粋にビジネス上の判断をしているだけだ。

ランサムウェアにやられたあと、CIOやCTOに『いつの段階に戻せばランサムウェアにやられていない状態に戻すことができるのだ？』と聞いても、『リカバリーしてみなければ分からない』とかいう曖昧な答えしか返ってこない。

その間に攻撃者は身代金の値段をつり上げていく。刻々と値段が上がっていくなか、バックアップデータをすべてチェックして完全にリカバリーするまでには時間がかかる。その間にもビジネスが止まっている現場からは悲鳴が上がってくる。

そうなれば純粋な経営判断として『身代金を払った方が結果的に安くつく』と考えるのは、無理もないことだ｣