サイバー攻撃による被害が大型化し、身代金は億単位に
はじめに佐々木氏は、今後増加が予想されるであろうサイバー攻撃について、(1)被害の大型化、(2)被害形態の多様化、(3)攻撃対象の多様化、(4)攻撃者の多様化・高度化を挙げる。
まず(1)被害の大型化について、事例として2018年1月に起きた、コインチェックの仮想通貨580億円相当の不正流出事件を紹介。2021年8月にも、ポリ・ネットワークから660億円の仮想通貨が流失しており、今後とも仮想通貨を中心とした被害の大型化が予想される。
(2)被害形態の多様化については、これまでは個人情報の流出など機密性の喪失が中心だったが、近年は情報の改ざんやシステムの停止など、“完全性”や“可用性”が喪失するケースが増えているという。その典型的な例が『ランサムウェア』であり、特に近年は、目的とする特定少数の組織を狙う『標的型』、暗号化による業務妨害に加えてデータ公開を行うなどの『2重脅迫型』が増える傾向にあり、『Dopple Leaks』をはじめ、『Maza』『DarkSide』など種類も増えている。件数としても、警察への届け出は令和2年から1年間で4倍以上になり、2重恐喝が85%、暗号資産による支払い要求が91%を占め、復旧に多大な時間がかかることも大きな問題になっている。
こうしたランサムウェアの被害を防ぐための必須対策について、佐々木氏は「感染防止が重要」として、①OSやソフトの脆弱性を修正すること、②メールのリンクや添付ファイルを安易に開かないこと、③セキュリティソフトを最新の状態で利用することを挙げ、感染した際に備えた『データ復旧準備対策』として、こまめにバックアップを取ることの重要性を強調した。その理由として、データの復旧方法の難しさを挙げる。つまり、かつては『(1)バックアップやクラウドストレージから戻す方法』以外にも、(2)ボリュームシャドウコピーで復元、(3)削除ファイルの復元ツール、(4)メモリー上のデータのダンプ取得による暗号かぎの取り出しなどでも可能だったが、(2)は初期設定が必要であり、(3)はランサムウェアによる被害が単純消去だけでないこと、(4)も難しい状況にある。もはや『バックアップが唯一であり重要な対処法』となりつつあるわけだ。
そして近年では、最も費用のかからない選択、病院のケースでは即時施術が必要な入院患者など利害関係者の最善の利益になるという観点から『支払いを容認する考え方』も登場している。一方で、『支払いに否定的な考え方』も根強く、復号のためのキーが提供されることを保証するものではないことや、攻撃者に資金を提供することでランサムウェア犯罪サイクルの維持につながってしまうことが、その理由だ。佐々木氏は「支払いはしないのが本筋」と語る。
実際、米国ではサイバー保険で身代金を支払っている例も多く、逆に保険に入っている企業は、攻撃を受けやすいという説もある。また、FBIなどは、身代金を払ってでも情報を取り戻してほしい立場のように見受けられるという。その一方で、身代金の支払いを禁止すべきであるという意見も強く、『米国財務省外国資産管理室(OFAC:Office of Foreign Assets Control)』が発行した勧告には、『攻撃者への金銭支払い支援はOFACの規制に違反するリスクがある』という厳しい警告が含まれている。つまり、制裁リストにある国の、個人・組織・政府への支払いを手助けすることが“違法”との見解を示しているわけだ。
実態調査では、ランサムウェアの被害を受けた企業の割合は、日本では61%であり、その半分が身代金を支払っていることになる。その額は433万ドルにもなり、世界的にも高額な身代金を支払っていることがわかる。佐々木氏は「身代金を払うかどうか、経営者は難しい判断を迫られる。それよりもむしろ対策をしっかりと行い、いざというときのためにバックアップを取るなどの対応をするほうが賢明」と語った。
