バックアップツール企業Rubrikの共同創業者でCEOのビプル・シンハ氏。
撮影:笠原一輝
「ランサムウェアにやられた企業はいとも簡単にビットコインなどの暗号資産(仮想通貨)で支払いを選択してしまう。時には正しい復号化鍵をもらえることもあるし、もらえないこともあるのに、だ」
2014年に設立されたバックアップツール企業のRubrikは、5月17日に開催された同社の年次イベント「FORWARD 2022」の中で、大流行するランサムウェア(身代金攻撃)に身代金を払う企業が後を絶たないことを指摘した。
ランサムウェアとは、企業のITシステムにマルウェアとして入り込みデータを暗号化して身代金を要求するマルウェア(悪意のあるソフトウェア)のことだ。
決して少なくない企業が身代金を払ってしまうのは、一体それはなぜなのだろうか?
日本でも2021年後半には前年比4倍の被害届が提出
警察庁が公開している資料「令和3年におけるサイバー空間をめぐる脅威の情勢等について」より。
撮影:Business Insider Japan
ランサムウェアが、企業や個人が所有するPCなどにさまざまな形で侵入すると、そこにあるデータを勝手に暗号化してしまう。
悪意あるユーザーは、企業や個人に対して「データを復号化(暗号化を解いて元に戻すこと)するための『復号化鍵』が欲しければ、ビットコインのような仮想通貨で身代金を払え」という手口で金銭を要求する。
ランサムウェアが話題になったのは、最近ではデンソーのドイツの拠点がランサムウェアによって攻撃されたと報道されたことが記憶に新しい。今なお、その被害は拡大している。
Rubrikの共同創業者でCEOのビプル・シンハ氏は、「今や11秒ごとにどこかの企業がランサムウェアの被害にあっている」と説明する。日本でも被害は拡大傾向だ。警察庁が公開している「令和3年におけるサイバー空間をめぐる脅威の情勢等について」によると、2020年後半には21件だったランサムウェア被害報告件数は、2021年前半には61件に、後半には85件と増加傾向にある。
出典:令和3年におけるサイバー空間をめぐる脅威の情勢等について
さらに被害にあった際の「コスト」をみると、背筋が寒くなる数字が並ぶ。同資料によると「復旧に要した費用は1000万円以上」と復旧に高額の費用がかかっている企業が、全体の43%を占めているという。
前出のRubrik代表のロジャース氏によると、アメリカでも「多くの企業は支払う方を選択する」という。ただ、ロジャース氏は、
「アメリカの医療機関での例だが、こうしたランサムウェアによる攻撃に直面した企業のうち、実に60%が仮想通貨で支払うことを選択している。問題はその送られてくる復号化鍵は本物の時もあれば、そうではない時もあるということだ。多くの企業は支払う方を選択する」
と言う。
ロジャース氏が指摘しているように、攻撃者による脅しに屈してビットコインなどで「身代金」を支払ったとしても、送られてくる復号化鍵が本物であるという保証はどこにもない。
それでも、身代金を支払ってしまう企業は後を絶たない。その理由は、ある種の「経営判断」にあるとロジャース氏は指摘する。
被害企業が身代金を払ってしまうのは「経営判断」?
警察庁の公開資料「令和3年におけるサイバー空間をめぐる脅威の情勢等について」より、手口や被害企業の規模の状況を抜粋。
出典:令和3年におけるサイバー空間をめぐる脅威の情勢等について
ロジャース氏によると、企業がそうした判断を下すのは、CTO(最高技術責任者)やCIO(最高情報責任者)などのITに精通した責任者ではなく、CEO(最高経営責任者)などの経営者層であることが多いとする。
なぜ経営者層は「身代金を支払う」という経営判断をしてしまうのか?
仮想通貨とはいえ、換金可能な資産を使って払ってしまうことを社会に知られれば「反社会的勢力に金銭を支払った」と言われてブランドが毀損される危険性があるし、既に述べた通り本物の復号化鍵が送られてくる保証はどこにもないのにだ。
ロジャース氏はこう言う。
「経営者は純粋にビジネス上の判断をしているだけだ。
ランサムウェアにやられたあと、CIOやCTOに『いつの段階に戻せばランサムウェアにやられていない状態に戻すことができるのだ?』と聞いても、『リカバリーしてみなければ分からない』とかいう曖昧な答えしか返ってこない。
その間に攻撃者は身代金の値段をつり上げていく。刻々と値段が上がっていくなか、バックアップデータをすべてチェックして完全にリカバリーするまでには時間がかかる。その間にもビジネスが止まっている現場からは悲鳴が上がってくる。
そうなれば純粋な経営判断として『身代金を払った方が結果的に安くつく』と考えるのは、無理もないことだ」
ランサムウェアに対抗するには「ゼロトラスト」の考え方で対処する必要がある
Rubrik社のプレジデント、ダン・ロジャース氏。
撮影:笠原一輝
既に述べた通り、攻撃者が本物の復号化鍵を送ってくる保証はどこにもないし、悪意がある攻撃者であれば、企業が支払った後でも、それを自分達の手柄として公開して企業のブランドを毀損してしまうかもしれない。
そうしたリスクを考えれば、しっかりとしたバックアップツールを利用して、確実にランサムウェアに感染してしまう前の状況に復旧する……という対策手段を講じる方が結局は低コストで、反社会的勢力の脅しに屈しないという意味でも企業にとって好ましい。
ロジャース氏は、Rubrikのプロダクトとして新たにランサムウェアに対抗できる新世代のバックアップツール「Rubrik Security Cloud」の提供をアナウンスしている。クラウドベースのツールから数クリックで簡単にバックアップ、復元を行なうことができるという。
「重要な事はどのバックアップデータがランサムウェアにやられていないか、常時監視し把握しておくことだ。われわれの製品ではそれが可能になり、仮にランサムウェアに侵入されても、クリーンな状態のバックアップデータを利用して復元し、すぐにビジネスを再開することができる」(ロジャース氏)
ITの世界ではこのように侵入されることを「防ぐ」のではなく、侵入される可能性を前提に、何が起きてもよいように備えておく考え方を「ゼロトラスト」と呼んでいる。
増え続けるランサムウェアに企業が本気で対抗するには、「入られないため」でなく「入られた後」にどうするのか、そうしたITシステムを構築しておくことが重要になってきている。
(文・笠原一輝)