第３４２号コラム「盗人に支払う金はあるか？」

第３４２号コラム：松本 隆　理事（ＳＣＳＫ株式会社　基盤インテグレーション事業本部
グローバルセキュリティソリューション部　エバンジェリスト）
題：「盗人に支払う金はあるか？」

盗人に追い銭（ぬすっと に おいせん）ということわざがある。盗人にお金を巻き上げられた上に、更にお金をくれてやるというような「損に損を重ねる」行為を指して言う。普通に暮らしていてそんな状況に巻き込まれることはなかなか無いだろうと思っていたら、最近自分の周りでも聞こえてくるようになった。世界中で猛威を振るいつつある「ランサムウェア」の話である。

ランサムウェア（Ransomware）とはマルウェアの一種で、感染するとプログラムが勝手にユーザー環境を技術的に制限してしまう。制限というのはたとえばPCの画面にロックをかけたり、ファイルを暗号化したりといった具合だ。当然のことながら制限を解くには攻撃者しか知らない鍵が必要で、それを盾にユーザーを脅迫し金品を要求する。対価として請求される「身代金」の額は幅があるようだが、対策ベンダーのレポートによると200ドル～500ドル程度を要求されるケースが多いようだ。多くの場合は広く個人ユーザーを対象にしたタイプの攻撃だと考えられるが、ターゲットを限定しないこの種のランサムウェアに企業ユーザーが引っかかってしまうケースはよくある。要求される身代金も日本円で数万円程度であり、十分に個人で支払える金額であるため、被害を受けたユーザーが実際に支払ってしまうケースがあるようだ。もちろん、その事実は企業内の情報セキュリティ担当者に報告されることはない。

社内のユーザーが勝手な判断でランサムウェアに身代金を支払ってしまうのはセキュリティ担当者にとってさぞや頭の痛い問題であろうと思っていたのだが、最近、セキュリティエンジニアが集まる場でも「お客様のために支払うことをお勧めするかもしれない」という意見が一定数出てきて驚いた。

「結局はデータの価値とそれに支払う対価のバランスだろう」という意見がある。データを失うことによる損失と要求された金額を勘案して対応すべきであると。これはひとつの真実のようにも見えるが、あくまでユーザーにとっての選択であり、セキュリティエンジニアが提案すべきではない。なぜか。理由は三つある。「身代金を支払ってもデータが戻る保証はない（復号されたとしてもデータの完全性が保障されない）」「復旧プログラムに見せかけた新たなマルウェアを仕込まれる可能性が高い」「支払ったこと自体が相手につけ入る隙を与えることになる」
藁をも掴む思いで問い合わせてきたユーザーに「残念ですがデータは諦めてください」と言いにくいのはよく分かる。また実際にデータ復旧の対策を行うとなると、予算的な問題があるのも事実だろう。しかし、身代金を支払ったところで顧客に結果が保障できないうえ、その行為自体が攻撃者にとって新たなつけ入る隙になるような対応を、セキュリティエンジニアは決して勧めるべきではないと思う。

そうすると我々は、ランサムウェアの被害に苦しむユーザーに何を提案できるのか？正直言ってやられてしまってからの対応は厳しい。しかし、フォレンジックの技術を使えば感染端末や他の端末のファイルシステムから対象ファイルを復元できるかもしれない。残されたマルウェアを解析することによってファイルを復号するための情報が手に入るかもしれない。また、再発防止を目的として、ＯＳが標準搭載しているディスクボリュームのスナップショットサービスを利用した、クライアント環境を含めた適切なバックアップシステムや、ユーザー端末のセキュリティパッチ更新の管理手段を提供できるかもしれない。個人に特定のデータが紐付いているような業務プロセスの改善を提案できるかもしれない。身代金を支払うことを勧める以外にも、エンジニアとして提案できることはあるはずだ。そして、重要なのはこれらの対策を社内のセキュリティやシステム担当と一緒に進めていくことだ。

我々のようなサードパーティのセキュリティエンジニアは、ユーザーに対し提案はできる。しかし、最終的に選択するのはユーザーである皆さん自身である。ひっ迫した状況に追い込まれて、身代金を支払うしかない状況に追い込まれることもあるかもしれない。しかし、その判断はせめて社内できちんとコントロールされた状況で行われるべきだ。本当にデータを復旧する手段はないのか、結果的に犯罪者に利益供与することを企業としてどう考えるか、議論を重ねてほしい。少なくとも、犯罪者を企業に呼び込みかねない対応を、ユーザーの勝手な判断にゆだねるべきではない。そして、身代金を支払う前にもう一度手を胸に当てて考えてほしい。「盗人に支払う金はあるか？」と。

【著作権は、松本氏に属します】