7月上旬、名古屋港でコンテナの搬出入を管理しているシステムがランサムウェアの攻撃を受け、コンテナの積み下ろしを一時中断してしまうという出来事がありました。
ランサムウェアの特徴は「攻撃者が身代金を要求する」という点です。
自社のシステムがランサムウェアへの感染でダウンし、業務に大きな支障をきたしたとき、身代金を支払って早期に復旧させた方が良いのかどうか?
過去の事例とともにみていきましょう。
日本最大の貿易拠点を攻撃した「最も注意すべき組織」
名古屋港運協会によれば、システムへの攻撃を確認したのは7月4日朝で、システムと繋がるプリンターから英語の脅迫文が約100枚出力されていたといいます。
脅迫文の表題には「LockBit Black Ransomeware」と書かれており、名古屋港はコンテナの搬出入作業を一時中断する事態に追い込まれました。
名古屋港は周辺に自動車など輸出関連企業が多い日本の重要貿易拠点です。システム復旧までの時間が長引けば多くの企業に多くの影響をもたらしかねません。
システムは2日後の6日に復旧し、その日の午後からコンテナの搬出入作業は再開されましたが、船舶の入港を制限せざるを得なくなる可能性もありました*1*2。
現在最も注意すべきサイバー犯罪集団「LockBit3.0」
今回、脅迫文の表題には「LockBit」という記載がありますが、「LockBit3.0」という、いま最も警戒すべきと言われているサイバー犯罪組織が存在しています*3。
LockBit3.0は、企業などのシステムに侵入してデータを暗号化し事業を立ちゆかなくさせた上で、暗号化を解除してほしければ身代金を支払えと要求、支払いに応じなければ暗号化したデータを自身のリークサイトで次々と公開するという、いわゆるランサムウェアで身代金を稼ぐ組織です。
報奨金を与えることで世界中のITエンジニアを「雇用」すると呼びかけており、その規模はどこまで拡大するか定かではありません。
こうした、データをリークサイトに公開する「暴露型」のランサムウェア攻撃グループによる被害は、2021年10月から2022年9月にかけて世界で2928件確認されています。
そのうちの3割を超える916件がLockBitによるものだというデータもあります*4。
さらにLockBit3.0の「攻撃キット」が流出しており、誰でも攻撃ができる事態にもなっています*5。
いま、この名前は必ず知っておかなければならない存在と言えるでしょう。
様々なセキュリティソリューション
身代金は支払う?支払わない?
さてLockBitに限らず、ランサムウェアを利用したサイバー攻撃の目的は身代金です。ファイルの暗号化を解きシステムを復旧させるのと引き換えに金銭を要求するものですが、近年では、暗号化の解除だけでなく、その上でシステムから奪ったデータを外部に公開しないことを条件とする「2重の脅迫」も発生しています。
ランサムウェアの被害にあった時、企業は身代金を支払うべきか否か?
被害者はそのような選択を強いられます。
名古屋港では連絡も支払いもせず
名古屋港で起きた今回のインシデントでは、名古屋港湾協会は攻撃者に対して連絡も身代金の支払いもしていないことを明かしています*6。
しかしランサムウェアを使った攻撃者らは、盗んだ情報を公開する場所となっているリークサイト上で
・被害企業、組織が自力でデータやシステムを復旧するのにかかる平均的な費用よりも、身代金を支払った方が安価であるという主張
・交渉に応じない場合の、データを公開するまでの日数(スケジュール)の予告
といったメッセージを積極的に発信しているという例も確認されています*7。
確かに、攻撃の規模によっては身代金を支払って早く業務を再開させた方がいい、と考えてしまうかもしれません。
過去にオランダの大学がランサムウェアの攻撃を受け、267台のサーバーとその一部のバックアップをランサムウェアに感染させられました*8。
この事態について大学側は30ビットコイン(約22万ドル)を攻撃者に支払い、重大なシステムを復旧したといいます。
研究等のデータを失い、試験や給与支払いを遅延させながら、侵害された全てのシステムを再構築するという事態を避けるための決断でした。
この判断が一概に悪いとは言えません。それぞれに事情があることでしょう。
一般的には支払わないのが基本
しかし一般的には、ランサムウェアを使った攻撃者への身代金の支払いはするべきではないとされています*9。
というのは、身代金は攻撃者の資金源や動機となり、さらに攻撃を活発化させる要因になりえるからです。
実際、ランサムウェア攻撃者への身代金の支払いはここ数年間大きく減少しています。
米Chainalysisの報告によると、2021年は総額7億6560万ドルだった身代金支払いが、2022年には4億5680万ドルにまで減っているほか、米Covewareは身代金を支払う被害企業の割合が減少傾向にあるという調査結果をまとめています*10。
もちろん資金源を断つことが、全体的に見れば攻撃を減らすことに繋がるといえるでしょう。
また前出のオランダの大学の事例のように、身代金を支払うことで重大インシデントを防止することができたのも事実です。
しかし現時点で、リークサイトを停止させたり、リークされたデータを回収したりするような手段は存在しません*11。
身代金を支払ったとしても、今後一切のリークが発生しないことが保証されるわけでもないことを考えると、その有効性について慎重に考慮する必要があります。
日頃からの備えが大きなカギに
最終的には、やはり感染の予防、そして万が一感染してしまった時に自力でシステムを素早く復旧できるために、常にバックアップを取っておくといったことが何よりも重要です。
影響を受けるのは自社だけではありません。
攻撃を受けた際、関係先や顧客に対してどのような対応を取るのか日頃から検討しておくこと、これは経営層の心構えとして欠かせないものになっています。
インシデント発生時にどう事業を再開させるか、自然災害などを想定したBCP(事業継続計画)を策定している企業は少なくないことでしょうが、サイバー攻撃についても同様に、プランを立てておくことが重要です。
様々なセキュリティソリューション
*1
「名古屋港の障害、ロシアのハッカー「ロックビット」が攻撃か...プリンターから脅迫文100枚」読売新聞オンライン
https://www.yomiuri.co.jp/national/20230706-OYT1T50167/
*2
「貨物量全国一の名古屋港、コンテナ搬出入停止...今春一新のシステムに障害」読売新聞オンライン
https://www.yomiuri.co.jp/national/20230705-OYT1T50118/
*3、4、5
「LockBit3.0とは何者か?」NHK
https://www3.nhk.or.jp/news/special/sci_cul/2022/11/special/lockbit-cyber-11/
*6
「ハッカー集団に身代金支払わず」共同通信
https://news.yahoo.co.jp/articles/580d9566f1a21124511ccfd6ae75ee92259d1af2
*7
「事業継続を脅かす新たなランサムウェア攻撃について〜~「人手によるランサムウェア攻撃」と 「二重の脅迫」~」情報処理推進機構
https://www.ipa.go.jp/archive/files/000084974.pdf p7
*8
「事業継続を脅かす新たなランサムウェア攻撃について〜~「人手によるランサムウェア攻撃」と 「二重の脅迫」~」情報処理推進機構
https://www.ipa.go.jp/archive/files/000084974.pdf p8-9
*9
「事業継続を脅かす新たなランサムウェア攻撃について〜~「人手によるランサムウェア攻撃」と 「二重の脅迫」~」情報処理推進機構
https://www.ipa.go.jp/archive/files/000084974.pdf p9
*10
「身代金を払う企業がまさかの減少、収入減で焦るランサムウエア攻撃者が立てた新戦略」日経クロステック
https://xtech.nikkei.com/atcl/nxt/column/18/00676/013100126/
*11
「事業継続を脅かす新たなランサムウェア攻撃について〜~「人手によるランサムウェア攻撃」と 「二重の脅迫」~」情報処理推進機構
https://www.ipa.go.jp/archive/files/000084974.pdf p15
