
2025.01.28
ランサムウェア攻撃者との交渉と、セキュリティ対策について考える
国内外で増加し続ける企業への「ランサムウェア攻撃」。攻撃を受けるとデータは暗号化され、業務に支障をきたすだけでなく情報漏洩の危機に晒されます。さらに、攻撃者はデータの復号と引き換えに身代金を要求します。従来、攻撃者との接触や身代金には応じるべきではないという風潮でしたが、昨今、国内でも身代金に応じたケースも出てきました。そこで、現場で多くのインシデントに対応してきた私が、攻撃者との交渉の是非について見解を示します。
ランサムウェア攻撃とその対応とは
私は、インシデントハンドラーやその支援技術者として、インシデント現場に何度も参加してきました。インシデントが発生している多くの現場では情報が錯綜し、多くの関係者が混乱と混沌の状態の中で戦っています。殺伐とした雰囲気で、早期出社や残業時間が増えるにつれ多くの関係者に疲労と焦りが溜まってきます。そのような状況下で、関係者は、被害状況を常時確認しながら、ログやディスクフォレンジックのような分析結果から原因追求し、疑義のあるネットワークや機器の隔離を実施します。さらに、第3者に被害が及んでいる場合は、被害者への対応(状況の説明)を行うなど、するべきことは枚挙にいとまがありません。
この時、インシデント早期収束のための対応の選択肢として従前よりタブー視されてきたのが、攻撃者との交渉と身代金の支払いでした。元々は「攻撃者には一切の接触をしない」というのが通例でした。確かに、身代金の支払いには多くのリスクが存在します。一方で、私は、この交渉と身代金の支払いの2つの行為については、分ける必要があると考えていました。実際に一般社団法人JPCERTコーディネーションセンター(以下JPCERT/CC)の「侵入型ランサムウェア攻撃を受けたら読むFAQ」をベースに私の見解を説明します。
JPCERT/CCによると、以下の理由から身代金は支払うべきではないとしています。
a)暗号化されたファイルが復元される保証がない
b)被害原因や侵害による他の被害は未解消のまま
c)支払い後に別の攻撃の被害や支払い要求を受ける恐れがある
この点については、私も同意見です。さらに、この攻撃者が日本や欧米の経済制裁の対象国の所属だった場合、金銭の支払い等の商取引を行うと、捜査機関による強制捜査や重大な罰則が課せられる可能性があり、支払うべきではないと考えます。
次に、攻撃者との交渉です。
通常、攻撃者と交渉を行うことは推奨されません。また、攻撃者から脅迫や提案のメッセージが届いたとしても、反応しないだけではなく交渉を検討するべきではありません。
判断や対応にお困りの場合は、外部の専門機関や警察などへの相談を検討ください。
身代金の支払いに比べて、明確に禁止するような表現ではありませんが、私には、交渉を行うことは高いリスクが存在することを説明しているように感じます。具体的には以下のリスクが考えられます。
- a)交渉の失敗により、攻撃が激化する。
- b)攻撃者によって交渉のやり取りを第3者に公開されてしまう可能性がある。等
一方で、交渉を行うメリットはあるのでしょうか?
- a)復旧までの時間稼ぎができる。
- b)侵入経路や現在の攻撃状況等、こちらに有利な情報を得られることもある。
以上から、私は攻撃者との交渉については、高いリスクを十分に認識したうえで、実行する施策の選択肢のひとつとしても良いと考えます。実際に、私がインシデントにおける攻撃者との対応について見解を求められた場合、以下のようにお客様に提案します。
1.身代金の支払いは絶対にしない。
2.以下のa,bのいずれかに条件が合致した場合、攻撃者との交渉を検討する。
a)かなり近い将来において、経営面で甚大な被害が高い可能性で発生し、早期に復旧する必要があると考えられる場合。
b)業務復旧の見込みが全くたたない、もしくは数か月以上の長期間の復旧になり、結果として経営面で甚大な被害が発生する可能性が高いと判断できる場合。
3.経営者が最終的に判断し決定する。
なお、ここに記載されている「甚大な被害」の定義は、経営者の判断に依存します。私の場合、顧客、従業員や関係者の生命、財産に直接大きな影響を及ぼす事象と定義します。逆に言えば、安易に事業への金銭的な影響だけで交渉を始めないということです。
ちなみに、日本においてこのような交渉事は、弁護士以外は対応を制限されています。一方、そのようなサイバー攻撃に関する交渉専門の弁護士は現実的にほとんどいません。結果として被害を受けた組織自らが対応を行う必要があります。
インシデントに備える。事前に準備すべき対策とは?
以上のように、このようなハイリスクな対応を行わないために、インシデントに備えた事前準備はとても重要なことがおわかりになるかと思います。最後に、私が事前に特に準備するべきであると考える3つの対策をあげます。
1.インシデント発生時の対応方針、体制の整備
インシデント対応は、CSIRT(Computer Security Incident Response Team)や情報システム部門だけが行うものではありません。
特に、個人情報や顧客情報が漏洩した場合は、法務や営業部門の協力が必要です。データ復旧やリストア作業に備えて、さらに、当該システムを運用しているITベンダーと緊急の対応手続きや手順等を確認しておくことも重要です。一方で、CSIRT側では、前述した攻撃者との交渉についても体制内で議論し、対応方針を整理しておくことを推奨します。
2.安全なバックアップと確実なリストア手順の整備
ランサムウェアがネットワーク上のデータを侵害(暗号化)しても、バックアップデータだけは侵害されないことが重要です。また、速やかにデータを復旧するためにもリストアし、業務復旧できる正確な手順を用意しておくことも非常に重要です。米国国立技術標準研究所(NIST)のCSF(Cyber Security Flamework)でも言及されています。
3.ネットワーク、システム構成図、脆弱性関連情報の最新化
ネットワークやシステム構成図の内容が現状を正確に表していないケースが非常に多いです。頻繁にネットワークやシステムの更新が発生してExcelデータの更新が追いつかない、そもそも情報システム部門の担当外のネットワークやシステム(事業部門が敷設したネットワーク等)が存在している等、理由は様々です。
例えば、セキュリティ担当者が求めるネットワーク構成図は、最低限、セキュリティ部門の責任範囲が含まれていること。ネットワークの接続機器は全て確認できることです。このような構成図が存在すると、インシデント発生時や対応期間中にも、速やかに隔離するポイントを判断、決定することが可能になります。
IT(クラウド)の活用が拡大し、常に変更・更新が起こる現在では、Excelでネットワークやシステム構成を表現・管理するのは、極めて厳しいです。現在、様々な構成管理ソリューションがありますので、利用を検討していただきたいと思っています。
また、サイバー攻撃の原因が既知の脆弱性だった場合、速やかに対象機器群に修正プログラムを適用する必要がありますが、その進捗管理をするためにも、台数と現状を正確に把握する仕組みが必要です。最低限、最新情報が更新された設計図やバージョン情報の一覧があれば、適用済みの機器が何台存在して、あと何台残っているかなどの進捗を把握することができるでしょう。
フューチャーでは、「FutureVuls」という脆弱性管理ソリューションを開発、提供しています。脆弱性に関する正確な情報をリアルタイムに届け、速やかな修正対応をサポートすることで、CSIRTや情報システム関係者の負荷を軽減します。
また、私をはじめとしたサイバーセキュリティコンサルタントが、本章の内容に関わるような、CSIRT構築支援、インシデント対応支援、フォレンジックサービス等を展開しています。
セキュリティ対策には、日頃からの抜かりない事前準備が不可欠です。インシデントが発生する前に自社のセキュリティ対策についてぜひ再考してみてください。