ランサムウェア攻撃、700件の身代金交渉から分かった「絶対に避けるべきこと」

CNET Japan

 ランサムウェア攻撃を受けた組織は、サイバー保険に加入していることを攻撃者に知られてはならない。被害者が保険に入っていることを知ったら、犯罪者は高額な身代金を搾り取ろうとするからだ。

 NCC Group傘下のFox-ITのサイバーセキュリティ研究者は、ランサムウェア攻撃の犯罪者と被害者との間の交渉700件以上を分析した。暗号化されたデータを復号するキーと引き換えに身代金(ビットコインで数百万ドル相当になることもある)を要求する、デジタル恐喝の背後にある経済について調べるためだ。

サイバー保険があだに

 その結果、被害者がサイバー保険に加入しており、それを攻撃者が知った場合、身代金の金額を下げる交渉の余地はほとんどないことが分かった。攻撃者が保険金を前提に身代金の金額を設定するからだ。

 調査報告で紹介されたあるランサムウェア攻撃者のチャットは次のようなものだ。「おたくがサイバー保険に加入していることは分かっている。お互い時間を節約しようじゃないか。300万ドルよこせば合意だ。分かっていると思うが、保険金以下の値下げはしない。絶対にだ。問題を解決したければ、これはチャンスだよ」

 このケースでは、攻撃者はサイバー保険プランの知識に基づいて身代金の金額を設定しており、被害者には値下げ交渉の余地が残されていなかった。

 別のケースにおける攻撃者からのメッセージでは、被害者のサイバー保険契約について知っているため、高額な身代金を要求している。被害者が支払う余裕がないと主張した後に送られたもののようだ。

 メッセージには「いいや、300万ドル支払えることは分かっている。保険会社に連絡しろ。今年の初めに保険料を支払ったのは知っている。これは保険会社の問題だ。サイバー恐喝は保険の補償範囲だ。おたくがもうかっていないことは分かっているので、保険に入っていなければ、こんな金額を要求しない」とある。

 身代金請求に関しては保険金が下りないと主張することもできるが、攻撃者がそれを真に受ける可能性は低い。

 研究者は、ランサムウェア攻撃者にサイバー保険契約について明かすのは交渉に不利だと指摘しているが、攻撃者が攻撃前にネットワークに侵入すれば、攻撃対象のサイバー保険について自ら把握する可能性もある。

 研究者は「できれば、保険関連のドキュメントを外部からアクセス可能なサーバに保存しないように」と警告する。

 サイバー保険は、被害者がランサムウェア攻撃に対処する手段になっているが、Fox-ITが示すように、犯罪者は保険の存在を知ると、身代金の要求でさらに強気に出る可能性がある。そもそも保険契約者が高度なサイバーセキュリティを設定していない場合はなおさらだ。

 対策の1つは、サイバー保険に加入しようとする組織に対し、保険会社が承認する前に、サイバーセキュリティに関する要件を満たすよう求めることだ。

 Fox-ITのサイバーセキュリティ研究者、Pepijn Hack氏は米ZDNetに対し「サイバー保険に加入することには確かにメリットもあると思うが、そこにはしきい値がある。これは難しい議論だ」と語った。

 「このしきい値は、サイバーセキュリティの認識と、組織全体のサイバーセキュリティの現状をよりよく把握するためのインセンティブになる可能性がある」(Hack氏)

 だが、それも問題になる可能性がある。サイバー保険に加入していない企業がサイバー攻撃を受ければ、多大な損害を被る可能性があるからだ。

 「サイバー保険サービス企業の中には、あまりにも多くの人々がハッキングされており、保険金がかさむので、今ではサイバー保険の提供をやめている企業もある。これは正しい解決策ではないと思う」とHack氏は語った。

 「どこかに妥協点があるはずで、われわれは最終的にはそこに到達するだろう」と同氏は述べた。

ランサムウェア攻撃を受けたら

 サイバー犯罪者に身代金を支払うのは、さらなる攻撃を助長することになるので一般には推奨されないが、Fox-ITは数百件の交渉を解析した結果、ランサムウェア攻撃に見舞われた場合の対処法をいくつか提案した。

 まずは、ランサムウェア攻撃に対処する方法を従業員に教育し、身代金要求メモのリンクをクリックしないよう徹底する。ハッカーはリンクがクリックされた時点から交渉のカウントダウンを始めるからだ。

 「企業が従業員に教えるべき第一の事項は、脅迫状を開かないこと、そして、(開いてしまっても)記載されているリンクをクリックしないことだ。(中略)リンクをクリックした時点からタイマーが始動する。カウントダウンが始まらないようにすることで、ある程度の貴重な時間を確保できる。この貴重な時間を使ってランサムウェア感染の影響を評価する」と研究者らは説明している。

 その間に対策チームは攻撃されたインフラの特定や運用に与える影響を調査できる。これにより、被害者は状況をある程度制御できるようになる。

 交渉を開始する前に、最終的な着地点について把握することも重要だ。人質にされたデータは、バックアップから復元できるものだろうか、それとも身代金を支払うしかないのだろうか。後者であり、身代金を支払う意思がある場合、その上限を決めておくべきだ。

 攻撃者について調べることも、交渉準備に役立つ。一部のランサムウェアに関しては、無料の復号ツールが利用できるので、身代金を支払う必要がまったくない可能性がある。

 攻撃してきたランサムウェアグループに関する研究論文やメディアの記事を調べれば、本当に復号キーを提供するかどうかや、DDoS攻撃、顧客への電話、データの盗用や漏えいなど、他の手段も駆使して支払いを強要する可能性があるかどうかなどの情報を得られる。

 実際の交渉に当たっては、プロフェッショナルな態度と相手への敬意が重要だと研究者は指摘する。被害者が怒るのは無理もないが、攻撃者の反感を買うと交渉戦略が不利になる。一方、礼儀正しくすることで交渉は有利になる。調査報告で紹介されている例では、400万ドルと持ちかけられた身代金を礼儀正しい交渉で150万ドルまで下げることに成功している。

 多くのランサムウェア攻撃者が、決められた期限内に身代金を支払うよう被害者に圧力をかけてくる。期限を過ぎたらデータを流出させると脅す手口が多い。だが、ほとんどの場合、攻撃者は期限延長の交渉に応じると研究者は示唆する。結局攻撃者が欲しいのは金であり、攻撃にはそれなりの時間を費やしているので、少しばかり待つことはいとわないだろう。

 身代金を支払えないと攻撃者を説得する手もあるが、攻撃者がネットワークにアクセス済みであれば、財務書類やサイバー保険証券をチェック済みだろう。持ちかけられる身代金の金額は、そうした文書に基づいた上限額の可能性が高い。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

Source