企業は、ランサムウェア攻撃の悪夢をすぐに終わらせるために、ランサムウェアの支払いをする気になるかもしれませんが、それは企業にとって最も危険な決断の一つです。身代金を支払っても、企業がデータを回復できる保証はありません。しかも、新しい規制が施行されたため、法的責任を問われる可能性もあります。
10月に発表されたランサムウェアの支払いに関するOFACの勧告
米国財務省外国資産管理局(OFAC)の報告によると、OFACの制裁対象組織リストにあるグループに所属するハッカーにランサムウェアの支払いをした場合、企業は法的責任を問われるようになりました。
リストの注目すべき組織は次の通りです。
- Dridexマルウェアを開発したロシアを拠点とするEvilCorp
- 2017年のWannaCry攻撃の背後にある北朝鮮系組織のLazarus Group
- WannaCryとも関連のあるBluenoroffおよびAndariel
- CryptoLockerを開発したロシア人ハッカーのエフゲニー・ボガチョフ
OFACが10月に発表した勧告は、制裁を受けている個人や組織と協力することは、OFACの規制に違反する危険があると企業に警告しました。その勧告によると、「OFACは厳格責任に基づいて制裁違反に対して民事罰を科す可能性があります。つまり、米国司法権の及ぶ範囲にある人は、たとえOFACが管理する制裁法および規制で禁止されている個人との取引だということを知らずに、または知る術もなく取引した場合でも、民事責任を問われる可能性があることを意味します」
サイバー保険会社、デジタルフォレンジック、インシデント対応会社は、ランサムウェア攻撃の被害者を支援する最も一般的な種類のビジネスです。預託機関やマネーサービスを含む金融会社でさえ、金銭的な処罰を含む民事罰則に処される可能性があります。さらに、OFACによれば、金融会社は金融犯罪捜査網に関する規制義務も考慮しなければなりません。
世界的なランサムウェアの急増により、企業は助けを求めて奔走しています
ランサムウェア攻撃は、2017年以降着実に増加しています。2020年だけでも、政府組織、教育期間、ヘルスケア組織がランサムウェアによって1億4400万ドルの損害を受けており、これらの業界で966件の攻撃が報告されています。これらの各業界は、COVID-19パンデミックによって、2020年に重要性を増したことで、ハッカーにとって特に興味深い存在となり、しかも攻撃に対して脆弱でした。
攻撃が増加した結果として、サイバー保険の請求も増加しています。ヨーロッパ、中東、アフリカでは、現在、ランサムウェア攻撃がサイバー賠償全体の半分を占め、2016年の13%から大幅に増加しました。CoalitionがまとめたCyber Insurance Claims Report(サイバー保険賠償に関する報告書)によると、2020年のサイバー賠償の41%がランサムウェアによるものでした。
歴史的に見て、ほとんどのランサムウェアハッカーは、暗号化されたデータと引き換えにランサムウェアの支払いを要求しました。今日、盗んだ被害者のデータを公開したり、被害者の顧客やクライアントの個人データを公開したりする脅威など、より創造的な手法が展開されています。
また、変化があったのはランサムウェアの標的です。かつて中小企業は、ハッカーにとって大きな利益を上げている企業ほど魅力的ではないと考えられていましたが、攻撃の標的としてその人気が高まっています。さらに、それら中小企業がITシステムの運営を任せているMSPもまた標的にされるケースが増加しています。
Dattoがまとめた2020年 Global State of the Channel Ransomware Report(チャネルランサムウェアの世界的な現状に関する報告書)によると、2020年は、MSPの60%が、中小企業クライアントに対するランサムウェア攻撃があったことを報告しています。そして11%が、自社のクライアントが1日に複数の攻撃を受けたことを報告しています。ヨーロッパのMSPからの自社の顧客に対するランサムウェア攻撃の報告は、他のどの地域よりも多く、85%になりました。米国がその後に続き、77%のMSPが攻撃を報告しました。
Dattoによると、フィッシングメールは、MSPによって報告されたランサムウェア攻撃の最大の原因でした。ユーザープラクティスの不足とサイバーセキュリティトレーニングの欠如は、それぞれ攻撃の原因の27%と26%を占めていました。MSPによると、2020年の平均的な身代金金額は5,600ドルで、2019年からわずかに減少しました。ただし、ダウンタイムによる損害は、2019年の141,000ドルから2020年には274,000ドルに急激に増加しました。
身代金の支払いにはリスクが伴う
サイバー犯罪者や組織が制裁を受けているかどうかにかかわらず、身代金を支払うことには重大なリスクが伴います。FBIによると、ランサムウェアの支払いをする企業の多くはデータへのアクセスを取り戻せません。場合によっては、サイバー犯罪者が同意したとしても、彼らの復号化ツールは信頼性が低く、欠陥がある場合さえあります。
さらに、おそらく最も重要なこととして、身代金を支払うことで、サイバー犯罪者は、新しいビジネスを標的することも、すでに被害を受けたビジネスを再度標的にすることもできます。攻撃が成功すればするほど、ハッカーはより多くの攻撃を繰り返す可能性が高くなります。攻撃の被害を受けたら、すぐに報告することをお勧めします。以下に役立つリソースをいくつかご紹介します。
- Europolによるこのリストを参照すれば、あなたの国の適切なサイバー犯罪当局に問い合わせることができます。
- 米国では、FBIのInternet Crime Complaint Center(インターネット犯罪苦情センター)および地方自治体に連絡することができます。
- アクティブなサイバー犯罪組織の包括的なリストについては、MITREをご参照ください。
