企業がランサムウェアによるデジタル詐欺の被害を避ける方法については、多くのことが書かれてきた。「ランサムウェア感染は、誰かが一見無害な添付ファイルをクリックしてしまったことが原因で始まることが多い。重要なファイルや文書(スプレッドシートやインボイスなど)が突然暗号化されてアクセス不能になれば、あらゆる規模の企業にとって頭の痛い問題になり得る」と米ZDNetのDanny Palmer記者は「What is ransomware? Everything you need to know about one of the biggest menaces on the web」(ランサムウェアとは--ウェブで最も大きな脅威の1つについて知っておくべきすべてのこと)という記事で述べる。「ファイル暗号化ランサムウェアで攻撃された場合、被害者が企業データを取り戻すために身代金を支払うまで、犯人はそのデータを人質に取ると厚かましくも宣言する」(同記事)
あらゆる警告が発せられているにもかかわらず、ランサムウェアは比類なき成功を収めている。さらに悪いことに、デジタル詐欺師は今では中小企業を標的にするようになった。多くの場合、中小企業には十分なリソースがないため、ランサムウェア対策に着手することさえできない。その損失は恐るべき規模に達している。このRiskIQのインフォグラフィックによると、ランサムウェアは年間80億ドルの損失を企業にもたらしているという。
ランサムウェアが中小企業に及ぼしている影響に目を向けると、Dattoが計10万社の中小規模企業(SMB)と取引のある1700のマネージドサービスプロバイダー(MSP)を調査し、その結果を「Global State of the Channel Ransomware Report」(チャネルランサムウェアの世界的な現状に関する報告書)という文書で発表した。Dattoは中小企業をMSPとマッチングする組織だ。同文書の冒頭では、ランサムウェア攻撃の件数は今後も増え続けると調査回答者の99%が考えていることが述べられている。次に、Dattoの最高技術責任者(CTO)のRobert Gibbons氏によると、調査したMSPの約75%は、SMB顧客がランサムウェア攻撃の結果として「ビジネスを脅かす」ダウンタイムを経験したと述べたという。これはかなり暗い見通しだ。
身代金を支払うべきなのか
米TechRepublicに寄稿するJesus Vigo氏は「ランサムウェアの身代金は支払うべきか--感染時の対応を考える」と題した記事で、身代金を支払う、すなわち損失を食い止めて、可能な限り早く通常の業務を再開することが理にかなっているのかどうかを考察した。Vigo氏は、「どちら側に立っても、それぞれの決断に至ったさまざまな理由を挙げることが可能だ」と結論づけた。「これは白黒をはっきり付けられる問題ではないので、事前の計画に基づいて答えを選ぶのではなく、状況に応じてそれぞれのシナリオに対処すべきだ、と私は個人的に感じている」(同氏)
Vigo氏が身代金支払いのプラス面とマイナス面を検討したのは1年強ほど前だ。ランサムウェアがもたらす損失を考えると、この議論を再検討することが適切であるように思える。DattoのGibbons氏によると、「ダウンタイムは身代金要求の損失よりもはるかに大きい影響をSMBに与える」という。
したがって、データとインフラストラクチャをできるだけ早く取り戻したい経営者が、不利な状況と分かっていながら身代金を支払っても構わないと考えるのは、当然のことである。さまざまなセキュリティ調査会社(BitdefenderやCyberEdgeを含む)の報告書によると、身代金を支払う企業の45%~55%はデータを取り戻せないという。
早まってはいけない
身代金は決して支払ってはならない、というのがセキュリティ専門家の常套句だ。しかし、彼らがそれを言うのはたやすいことである。実際にあの苦渋の決断を下さなければならないのは、セキュリティ専門家ではないからだ。とはいえ、今では、そうした決定に直面している人々も身代金要求に応じない可能性が高い。
CyberEdgeGroupの「2018 Cyberthreat Defense Report」(2018年サイバー脅威防御報告書)によると、調査した1200人のITプロフェッショナルのうち、55%はランサムウェア攻撃を受けたことがあるという。その55%のうち、身代金を支払ったのは19%だけだった。さらに、身代金の支払いを拒否したITプロフェッショナルは、バックアップがあったので、迅速に復旧して通常業務を再開することができたという。
バックアップが解決策なのか
Radwareが調査した企業によると、データの喪失が最も切迫した問題なので、鉄壁のバックアップシステムが解決策になりそうだという。「サイバー攻撃を受けたとき、企業が最も心配するのは自社のデータである」とRadwareの報告書は述べる。「回答者によると、ビジネス上の最大の懸念はデータ流出であり、評判の喪失とサービス障害がそれに続くという」(同報告書)
データ喪失が原因で通常業務が不可能になること以外にも、経営者が懸念していることはある。
- データを取り戻せても、その情報が攻撃者に利用されたり、競合他社に売られたり、被害企業に恥をかかせる目的で公開されたりする可能性は排除できない。
- 機密性があるかどうかに関係なく、データを失ってしまうと、企業が業界や政府の規制を遵守できなくなる可能性がある。
- Radwareのセキュリティソリューションズ担当バイスプレジデントのCarl Herberger氏は、「こうした状況でハッカーに身代金を支払ってしまうと、再び攻撃を実行する動機を与えるだけでなく、攻撃の継続に必要な資金も犯罪者に提供することになる」と述べた。
不可避の事態に備える
重大な転機となる動きが起きている。サイバーセキュリティ専門家は焦点を予防から回復へと移しつつある。予防は万能の解決策ではないので、避けられないサイバーセキュリティインシデントから回復するために、可能な限りの備えをしておいた方がいい。
「人生に保証はないが、ランサムウェアに感染するリスクを最小限に抑えるために、個人ができることはいくつかある」とこのFraudWatch Internationalの記事では記されている。「誰かがランサムウェアに感染した場合、その攻撃がもたらす影響と損害を最小限に抑えるために、さまざまな措置を講じることも可能だ」(同記事)
提供:Zephyr18, Getty Images/iStockphoto
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
