FireEye Blog 第2回「ランサム攻撃者と交渉する話 ― 身代金はどこまで値切れるか？」

　ランサムウェアにはもう、食傷気味だろう。DARKSIDE もとりあえず take down されたようだし、改めてランサムの話をしても離脱率が上がるだけなので、今回は身代金の「値切り」の話をしようと思う。しかし、値切りを推奨するわけでも、支払いを推奨するわけでもない。あくまでも、実際こういうことが行われている、という事実の報告だ。

●礼儀正しいビジネスマンとしての攻撃者

　御存知の通り、身代金を払ったからと言って攻撃者が復号鍵を渡してくれる保証も、盗んだ情報を綺麗サッパリ消し去ってくれる保証もない。しかし、ここに最近の RaaS としての特徴がある。少なくとも Mandiant が観測した、被害者が身代金を支払ったケースでは、常に攻撃者は約束通りに復号鍵を提供していた。

　これは RaaS がビジネスとして成立していることに要因がありそうだ。攻撃者は攻撃ビジネスグループとして信頼されるために取引に応じる。一方、被害者は支払いを実施することで、サイバー保険による補填を受けることができる。ビジネスモデルが成立しているのだ。ただし、これはあくまでも犯罪行為であることをくり返す。

●被害者にやさしい！？サポセンつきランサムウェア

　さて、実際のランサムの事案に戻ろう。今回お話する値切り話に登場するランサムウェアは、RYUK, MAZE, CLOP といつものメンツだ。2020 年にこれらのランサムウェアを利用した攻撃における、攻撃者/被害者間交渉には、一定の類似点がある：

1.ランサムウェア展開と同時に、身代金支払いおよび復号鍵入手のための連絡先を記述したメモファイルを残す。ここには身代金の金額は記されていない

2.被害者がコンタクトを開始すると、攻撃者は、自分たちが本物であることを示すために一部のファイルを復号してみせる。あるいは身代金支払い後にファイル消去の証拠を提示するなどの提案をし、信頼を得る。この際、復号方法がわからない被害者に対しては、サポートセンター的機能を提供する

3.金額交渉が行われ、被害者は合意が取れた金額をビットコインで支払う

4.攻撃者が再発防止や組織が取るべき対策などをアドバイスしてくれるケースも

　サポセン機能から対策まで提供してくれるとはなんと優しい攻撃者ではないか！！こうして攻撃者側も「評判(レピュテーション)」を高く保ち、多くの被害者が穏便に従ってくれることを望んでいるようだ。しかし、何度も繰り返して言うが、これは犯罪だ。いくら行儀が良くても親切でも、相手は犯罪者であることを忘れてはならない。

●「値切り」の実際

　では、被害者たちは実際どのように値切りを行ったのだろう。いくつかの実事例を参考にして作成した「値切り事例」を紹介していきたい：

1.製造業 A 社「頼むから中小企業の懐事情をわかってくれよ・・・」
老舗中規模の製造業の A 社は、2020 年のある月曜日の朝、データにアクセスできないという社員の報告によってランサムウェアの被害に遭ったことに気がついた。身代金請求として、当初約 10 億円の支払いを求められたが、同社の年間収益は 30 億程度。「さすがに高すぎる。払えない。せめて、3 億で手を打ってもらえないだろうか」と交渉し、合意。

2.B 病院「今の状況わかってるんですか！！人命第一を考えてください！！！」
新型コロナウイルスの対応で混乱する B 病院をランサムウェアが襲った。業務に直結するデータが参照できないと、場合によっては人命に関わりかねない。B 病院は逼迫する医療現場の現状を説明し、減額を交渉するも、攻撃者は応じない。次に B 病院は提示額の 1/5 程度の金額しか支払う余裕はないことを説明すると、攻撃者はそれを受け入れた。

3.IT 関連業 C 社「別に僕ら、復号鍵なくても復旧できちゃうんですけど(笑)」
バックアップを日頃から取っていた C 社は、ランサムウェアの被害によってサーバ上のデータが暗号化されても、リストアすることで迅速に業務環境の再構築に着手することができた。しかし、すべてのリストア効率化のため、攻撃者に交渉し一部を復号することに。「別に払わなくても戻せるんだけど？」のスタンスでの強気の交渉が功を奏し、請求額の 1/10 程度の金額で合意することができた。

　ユニークなのは C 社の例だろう。別に支払わなくても良かったケースだ。実際に交渉もスムースに行えている。業務復旧を最優先することを想定した場合、バックアップはランサムウェアに対して有効な対処手段であることも示している。値切り交渉において有利な立場に立つには、上記サービス業 C 社のように「自社/自組織」にとって有利な情報、交渉材料を持っていることがポイントのようだ。

　しかし、暗号化だけでなく、情報まで抜かれていた場合にはいわゆる name&shame として晒すことも考えられたし、また、個人情報や知的財産情報などの情報資産価値の高い情報が盗まれていた場合、最悪なケースも想定された。

●値切ることの是非：支払いは本当に賢い選択か

　ランサムでふっかけられた金額よりも安い金額で「コト」が済めば被害者にとってはありがたい話だ。実際、値切りの有無に関わらず、支払い後に復号鍵がもらえる可能性はかなり高いこともわかっている。また、イマドキのランサム攻撃者はどうも、ビジネスライクで紳士的なようだ。

　しかしいくら高級なスーツに身を包んだスマートなビジネスマンを気取っていても、中身はヤクザである。ランサムウェアによる強請り行為は、不正指令電子的記録に関する罪(いわゆるコンピュータ・ウイルスに関する罪)をはじめとする各種罪に問われる可能性が高い。そして、値切っても値切らなくとも、被害者が支払ったお金は RaaS のビジネスモデルを提供している事業者と、それを利用して強請りを行っている者の両犯罪者の懐に入るわけで、決して倫理的にもコンプライアンス的にも好ましいものではない。米国では、攻撃者だけでなく、ランサムに屈して支払ってしまった被害者も罰するという話も出はじめており、弁護士に相談することが常となっている。

　昨今のランサムの、「単に暗号化を行うだけでなく、情報を持ち出す」という性質からも、支払いの結果手に入れた復号鍵がすべての問題を解決してくれるわけではないことも忘れないでほしい。値切りを含めた支払いという選択は、ありとあらゆる要素を検討し、他の方法がないときの最終オプションとすべきだろう。

●ランサムとうまく付き合うために

　国家支援型の影もちらつくようになったランサムは、簡単に防御できないものになりつつある。しかし、ランサムは仕掛けから発動までに時間を置くケースもあることから、とにかく早期発見早期対処の体制が重要だ。そのための方法として、不自然な兆候を即座に見分ける日頃の監視体制、そしてその後の調査、フォレンジック活動を迅速にすすめるために求められる EDR などが考えられる。

　新型コロナ対策同様、いかに重症化を防ぐかよりも、いかに感染しないかだ。身代金を値切る前にそもそも、「支払う必要をなくすにはどうすべきか」を優先的に考えたいものである。

《ファイア・アイ株式会社プロダクトマーケティングマネージャ横川典子》