HOME > U+(ユープラス) > 奇論・暴論 > 第398回 猛威を振るう「身代金要求」とその対策
2017/03/13
「身代金」の要求に応じるな―ランサムウエア(身代金要求型サイバー攻撃)の被害が日本企業の間に急速に広がって、これに対して専門家は「身代金を払うな」と警告するが、攻撃を受けてしまった被害企業にとってはそう簡単には行かない。しかし、考えてみると、その事前対策については単純明快である。重要なファイルはセキュリティー措置を講じて複製を分散管理しておく。その一部が復元できなくなっても、複製して分散保管してあるものを呼び出して復元すればよいのである。特に「秘密分散処理」などでセキュリティー措置が講じられていればリスクは大きく下がる。
ランサムウエアは、システムに侵入して情報ファイルを勝手に暗号化して、暗号化を解くカギを知りたければビットコインなどによって身代金を支払え、というのが典型的な手口である。企業によっては、勝手に暗号化されたファイルを至急に使用しなければならないこともあるため、攻撃者の要求に応じて「身代金」を払ってしまうケースが多いようだ。
日本企業は特にこういう反応が目立つ。これに味をしめた犯人側は要求に応じやすい日本企業を集中的に攻撃して来るようになった、と専門家は分析している。被害が広がっているのは、「面倒事は金で即時解決」と考える企業が多いためである。現場の段階で自分たちの間だけで処理して外部に広げないでおこうという、一種の「事なかれ主義」の意識が働いているのかもしれない。犯人に味をしめられて攻撃が拡大しないように、専門家は「安易に金を払うな」と警告するわけである。
しかし、「金を払うな」と言われても困る。被害企業としては、ファイルを利用できない損害よりも、金を払ってでもファイルを回復した方が損失は少ないなら、金を払った方が解決も速い、と考えがちである。金を要求する側も、膨大な額の要求でなく、そこそこに企業で払えそうな金額に設定する。事を荒立てずに早期決着する方が、担当者も楽である。
セキュリティーソフト大手のトレンドマイクロ社の調査では、「国内の5社に1社」がすでに被害に遭っている、という。さらに問題なのは、被害企業の63%は身代金を犯人に支払っている、と回答していることだ。3社に約2社という高い比率である。そのうち16%の企業が「1000万円以上を支払った」としているが、規模の大きな企業にとっては、ファイルを利用できないままに置かれる場合の損失に比べれば、要求額を支払った方が損失は少ない、と判断できるのだろう。
しかし、これでは本質的な解決にならない。要求額を支払っても、暗号を解くカギの情報が得られるとは限らないし、簡単に身代金を支払う企業として、すぐに次の攻撃を受ける懸念がある。本質的な解決策は冒頭に記述したようなファイルの分散管理である。秘密分散処理は、かつてはコストのかかる技術と思われていたが、現在では低コストのソリューションが出現している。パソコンやサーバー、データベースなど幅広いデバイスに対応できるだけでなく、分散管理の場所としてコストの安いクラウドを利用する、など、多様なニーズに応じられるようになってきた。ランサムウエア攻撃は、事前対策をしっかりすれば被害を回避することは簡単である。「身代金」を要求する前に事前対策が肝要である。