ランサムウェア攻撃を受けた企業が直面する最も難しい判断の一つが、身代金を支払うべきか否かという決断だ。ホワイトハッカーが解説する攻撃者の論理を理解することで、インシデント対応の視点が変わる可能性がある。ITmediaが運営する「TechLIVE」では、攻撃者視点を深める番組「攻撃者の目」を公開しており、最新回では現役ホワイトハッカーをゲストに迎え、ランサムウェアグループとの交渉が発生した際に企業が何を考え、どのような判断を下すべきかを解説している。
ランサムウェアビジネスのエコシステムと市場拡大
今日のサイバーセキュリティにおいて、ランサムウェアは攻撃者にとって極めて収益性の高いビジネスとなっている。攻撃ツールを開発してアフィリエイターに提供する「Ransomware as a Service」(RaaS)や、侵入経路を提供するイニシャルアクセスブローカー(IAB)など、多様な役割が存在するエコシステムが確立され、その市場は拡大傾向にある。こうした状況でランサムウェア攻撃を完全に防ぐのは困難になりつつあるが、万一被害に遭ったときに多くの企業が直面するのが「身代金を支払うべきか、それとも拒否すべきか」という難しい判断だ。
犯罪組織への資金提供は避けるべきだという考え方がある一方、基幹システムの停止や生産ラインの停止、顧客向けサービスの中断など、事業継続に深刻な影響が及ぶ状況では、現実的な選択を迫られるケースも多いだろう。各国政府や国際機関はランサムウェアへの抵抗姿勢を強めており、米国財務省外国資産管理局(OFAC)は、制裁対象となっている組織や個人に資金が渡る可能性がある場合、身代金支払いが法的リスクにつながる可能性があると警告している。
国際社会の立場と現実的な企業経営のジレンマ
こうした背景から、国際社会では「身代金を支払わないことで攻撃者の利益を断つべきだ」という考え方が広がっている。しかし、現実の企業経営はそれほど単純ではない。ランサムウェア被害を受けた企業の中には、事業継続を優先して支払いを検討したケースが一定数存在する。日本では現時点で身代金支払いそのものを一律に禁止する制度は存在しない。ただし支払いが判明した場合、取引先や顧客から説明責任を求められたり、社会的な非難を受けたりする可能性があるだろう。
経営層やセキュリティ担当者は「支払うべきではない」という原則論と、「事業停止による損失をどう抑えるか」という現実論の間で難しい判断を迫られているのだ。番組では、攻撃者の思考や行動原理についても解説している。ランサムウェアは犯罪ビジネスである以上、攻撃者にとって最も重要なのは収益だ。交渉が決裂すれば、侵入や横展開、情報窃取などに費やした時間やコストを回収できなくなる。
攻撃者の論理と交渉の実態
そのため攻撃者は、標的企業の規模や売上高、事業内容などを調査し、場合によってはサイバー保険の加入状況なども参考にしながら、「支払いに応じる可能性が高い」と考えられる金額を提示する。また近年では、いきなり高額な身代金を要求するだけでなく、交渉に応じる姿勢を見せたり、値下げに応じたりするケースも報告されている。こうした行動は攻撃者が「余裕」を持っているからではなく、あくまで交渉成立によって利益を確保したいというビジネスの合理性によるものだ。
そして最も重要なのは、交渉が始まってから対応を考えるのではなく、その前の準備である。多くのランサムウェア攻撃では、暗号化の前にネットワーク内部の調査や権限昇格、重要データの探索が実施される。攻撃者はバックアップ環境を特定し、復旧手段を妨害しようとするケースも多い。そのため、オフライン環境や論理的に分離されたバックアップ、イミュータブルなバックアップなどを適切に整備しておくことは、被害発生時の重要な交渉材料となる。復旧の見通しが持てれば、攻撃者からの圧力に左右されにくくなるからだ。
二重脅迫の台頭と総合的な準備の必要性
ただし、バックアップだけで全ての問題が解決するわけではない。近年はデータを暗号化するだけでなく、事前に機密情報を窃取し、公開をちらつかせて脅迫する「二重脅迫」が主流となっている。システムを復旧できても、情報漏えいへの対応や顧客説明は避けられない場合がある。だからこそ企業には、「支払うか、支払わないか」という二択だけでなく、事前の備え、被害発生時の意思決定プロセス、外部専門家との連携体制まで含めた総合的な準備が求められる。
サイバー攻撃との戦いは、技術だけの問題ではない。攻撃者がどのように利益を得ようとしているのか、その論理を理解することは、被害発生時の判断力を高めることにもつながる。ランサムウェア攻撃の現場では実際にどのような駆け引きがあるのか。被害企業と攻撃者の間で交わされる交渉の実態を知ることは、自社の備えを見直すきっかけになるはずだ。
関連記事として、ランサムウェアの侵入手順を図解解説した記事や、KDDIの最大1422万件の情報漏えい事件の背景、アスクルのランサムウェア被害の原因分析、日本医科大学付属病院のランサムウェア事件の詳細なども公開されている。



