今年起きたランサムウェア攻撃について、3 つの都市の話を取り上げましょう。
5 月、ボルティモア市は大規模なランサムウェア攻撃を受け、数週間にわたって多数のシステムが停止しました。職員の電子メールへのアクセスが制限され、オンライン支払ポータルが閉鎖され、さらには、駐車取締官が駐車違反切符を切ることさえできなくなりました。攻撃を受けた後、市長は身代金の要求には応じないと再三述べています。ただし同市の復旧に掛かる費用は 1,000 万ドルを超えると見られます。
一方フロリダ州の 2 つの都市は、同市より規模は小さいとは言え、別の道を選びました。レイク シティとリビエラ ビーチの各自治体は先月、ランサムウェア攻撃を受けた後、データを複合するために身代金を支払うことを選択しました。ただしデータの複合は今も続いています。
これらの自治体は合わせて 100 万ドル相当のビットコインを身代金として支払いました。研究者は、この種の攻撃の勢いが衰える様子はないと言います。では、別の自治体が同じ被害を受けたとき、支払い要求に応じるべきでしょうか?それとも、データを手動で復旧する長いプロセスを選ぶべきでしょうか?Cisco Talos とシスコのセキュリティの専門家に意見を求めました。
全員に同じ質問をしました。自治体政府はランサムウェア攻撃を受けて身代金を支払うべきでしょうか?身代金を支払うメリットとデメリットは何ですか?回答は以下のとおりで、わかりやすいように編集されています。
注目すべき点として、多くの場合、都市がすべてのシステムを復元するために大金を費やすよりも、身代金を支払ってデータの複合に時間を費やすほうが信用面で勝ります。たとえばアトランタ市は昨年、ランサムウェア攻撃からの復旧に約 1,700 万ドルを費やしましたが、この攻撃者が当初要求した身代金は 52,000 ドルでした。
次回の『Beers with Talos』ポッドキャストでは、出演者がそれぞれの答えと論拠について話し合いますので、お聞き逃しなく。Talos のグローバル アウトリーチ担当ディレクター、
Craig Williams:いくつかの理由から、どのようなサイバー犯罪でも、身代金の支払いは「最後の手段」となるべきです。特に医療の見地からは、これが恐ろしい事態を招きます。たとえば政府機関を狙う攻撃者がランサムウェアのキャンペーンに見せかけて主要な標的の医療記録を改ざんできるとしたら、主要な標的に損害を与えた上で、気付かれないまま逃げおおせることができるかもしれません。他にも、複合の作業中にエラーでデータが破損する可能性さえあります。たとえランサムウェアの作成者が本物の復号鍵を渡したとしても、それが確実に機能するとは限りません。ここで問題なのはデータの整合性を確認できないことです。
身代金の支払いの別のデメリットは、敵に塩を送ることです。現状を受け入れた上でネットワークを遮断して、適切なセキュリティ アーキテクチャを念頭に置いて再設計するほうが、最終的には費用対効果が高くなる可能性もあります。Talos コミュニティ部門シニア マネージャー、
Joel Esler:身代金の支払いは必然的に、攻撃者に軍資金を送ることになります。ファイルを取り戻せるという保証、または攻撃者が再び侵入するためのバックドアを設置していないという保証がまったくないまま、犯罪者に金銭を渡しているのです。
そもそも、感染経路となった脆弱性は存在したままです。攻撃を受ける前に効果的なバックアップ戦略を策定するほうが、はるかに望ましい対策だと言えます。実際に攻撃を受けても、バックアップがあればコンピュータの中身を消去して復元できます。さらに、システム全体をオンラインに戻す前に修正プログラムを適用し、対策に関するユーザ トレーニングを実施するなどの手段を講じます。マルウェアの種類を問わず、サイバー攻撃で侵入されたコンピュータはもはや信頼できません。Talos コミュニティ部門、シニア マーケティング マネージャー、
Mitch Neff:私が以前に学んだ重要なビジネスの基本は、新しい顧客を見つけるよりも既存の顧客から収益を得るほうが簡単だということです。10 ドルで草刈りの依頼を受けたら、相手の芝生に常に目を配り、伸び放題になったらすぐにまた参上します。一度でも代金を支払った後に私を確実に遠ざけておくためには、私の草刈り代金よりもずっと多額の費用を投じるしかありません。
身代金を支払うことは攻撃者の顧客になることであり、不本意であれ他の攻撃者からもビジネスのターゲットと目されるでしょう。身代金自体は単なる初期費用であり、侵害の時点よりも状況が改善されることはありません。根本原因に対処するための、通知、セキュリティ トレーニング、セキュリティプ ラットフォームの見直しには、はるかに多くの費用が掛かります。バックアップとディザスタ リカバリのプランを今策定することは、その何倍も高くつく身代金と同等の価値があります。Cisco Incident Response、マネージャー、
Brad Garnett:一般的に言って、組織が身代金を支払うことはお勧めしません。まず、ランサムウェアの多くは、数週間、数ヵ月、あるいは数年にわたる継続的な侵害の副次的な結果です。ランサムウェアは進化し続けており、検出回避能力も進化しています。攻撃ではイベント ログを消去し、その他の重要な証拠も破壊できるようになっています。身代金を支払っても、攻撃者が環境から排除されるわけではありません。侵入経路となった可能性のある脆弱性が修正されるわけでもありません。
このところ、地方自治体がランサムウェア攻撃の被害に遭い、データを復旧するために身代金を支払うケースが増えています。身代金を支払うという選択肢は、事業継続またはディザスタ リカバリの一部として、極端なケースでのみ検討するべきです。つまり、身代金はフォレンジック調査でもなければ、環境を復旧させるための手っ取り早い方法でもありません。Cisco Talos、ディレクター、
Chris Marshall:身代金問題については、単にセキュリティ リーダーとしての見解にとどまらずに注視する必要があります。ランサムウェアの侵害という困難な状況に直面した組織は、組織内のスタッフ、インシデント対応人員、パートナー ベンダーを評価し、体勢を立て直して再び事業を続けるだけの能力があるかどうかを、ごく短時間のうちに決断しなければなりません。手動でのデータ復旧が費用に見合うかどうかや、必要な人員が妥当な期間内に復旧を完了できるかどうかといったリスク評価も必要です。どちらの道を選んでも保証はありません。過半数の意見は、攻撃者に資金を提供しない(つまり身代金というギャンブルに出ない)に傾いていますが、そのギャンブルが価値に見合う場合もあります。Cisco Talos オペレーションズ部門、ディレクター、
Nigel Houghton:これはビジネス上の決定事項です。感染が検出された後、同時に進める必要があることがいくつかあります。外部のセキュリティ チームを招いて、フォレンジックの実施、損害の評価、発見事項の検証などを進めると同時に、社内の IT セキュリティ担当者は(可能であれば)バックアップの復元や、フォレンジック チームが特定した侵入ベクトルの修正にあたる必要があります。同時に、身代金を要求している犯罪者への対応を別の外部リソースに託す必要があります。ある時点で、すべての関係者が弁護士と経営幹部と顔を合わせ、場合によっては法執行機関も交えて、最善策を決める必要があります。これは基本的には、要求されている身代金を支払うかどうかの決定になります。これは単に「身代金を絶対に支払わない」か「とにかく身代金を支払う」かの単純な決断ではありません。
本稿は 2019年7月11日に Talos Group のブログに投稿された「Should governments pay extortion payments after a ransomware attack?」の抄訳です。