第25回 ランサムウェアに感染したら
1年ほど前の本連載でも「第13回 進化するランサムウェア」と題してランサムウェアの脅威について述べさせて頂きました。その後もランサムウェアの被害は収まらず、アメリカ最大の石油パイプライン会社がランサムウェアの被害を受け、5日間も石油供給が滞り、アメリカ国内での石油不足を深刻化することとなりました。被害を受けた会社は4億円以上の身代金を払い、復旧を急いだことでも話題となりました。国内に目を向けても、昨年の大手ゲーム制作会社カプコンが、ランサムウェアに感染し、流出した企業情報を質に強請(ゆす)られるという事件の記憶が薄れないうちに、キーエンスや鹿島建設の関連会社が、やはりランサムウェアに感染し、企業情報の公開を質に金銭を要求されるという被害が起きています。
以前に紹介した通り、ランサムウェア自体は新しいものではありません。海外では10年以上前から存在し、国内でも4年ほど前に流行しました。当時のランサムウェアは感染するとパソコンやサーバー類のファイルを暗号化して、アクセスできなくするものでした。暗号化を解かなければ必要なデータにアクセスできず、パソコンやサーバーが機能しなくなるのです。暗号化を解くためには解読するための鍵が必要になるのですが、そのカギを質にとって金銭を要求するのです。流行の原因にはインターネットを介して流通する仮想通貨の一般化もあります。仮想通貨の登場以前は金銭の要求には銀行を介しての送金、もしくは換金性の高い物品の郵送が必要でした。様々な技術を使って、ネットを介しての取引においてはその要求元の追求を困難にすることは容易ですが、最終段階の目的である金品の送受で足が付く、すなわち犯罪者が露呈する可能性が高いのです。仮想通貨を使えば、犯罪者にとって身元が明かされることなく金品を受け取ることが可能になりました。
以前の国内での流行時には不特定多数のパソコンやサーバーを標的にしたものが多く、金銭の要求も個人や中小企業が支払い可能な現実的な金額、すなわち数万円から数十万円程度でした。そのランサムウェアに感染した人も多く、データを復元したいがために、仮想通貨で払い込みをした人も少なくなかったようです。当時、中小企業を対象にしたランサムウェア感染の調査(大阪商工会議所)で回答に応じた315社中、22社が感染し、その中の少なくない数が実際に脅迫に応じ、金銭を支払ったとのことでした。
以前のランサムウェアは感染すると、パソコンやサーバー内のファイルを暗号化し、業務や作業に支障をきたすことが問題でした。現在、その感染によって大きく問題になっているのは、業務の停滞に加え、企業や個人の情報を盗み、それを公開することを質に金銭を要求されることなのです。ランサムウェアの被害が公になっている企業の大半はこの金銭の要求を拒否しています。要求に屈することによって社会的責任や社会的制裁が考えられ、天秤にかけた際に必ずしも得策とならないからです。しかしながら業務の停滞期間や漏えいした可能性のある情報の公開によって多大の損害が考えられ、要求に屈するほうが被害が少ないと考えられる場合もあり得ます。最近、アメリカの石油パイプラインを運営する会社がランサムウェアに感染し、結果的に要求に屈し、5億円の身代金を払ったと言われています。想像するに復旧費用とその復旧までの損失額が5億円をはるかに上回り、非難や信用低下を含めた社会的制裁を十分考慮しても支払いに応じたほうが得策と考えたのでしょう。
ランサムウェアについての被害は大企業ばかり報道されていますが、先にも述べましたように中小企業、さらには個人が感染し、強請られる可能性は小さくありません。小規模な企業や個人の場合、盗み取られた情報を公開されることによって、極めて大きな損害を被ることは大企業に比べて小さいでしょう。要求額にも寄りますが、事業や作業復旧に要する費用と、復旧までの被害額が大きな問題になってくることでしょう。比較した結果、要求額が小さければ支払いに応じる企業や個人もなくはないと考えられます。数年前の調査結果もそれを裏付けています。
では、やはりランサムウェアに感染した場合、身代金を支払う、つまり要求に屈することは選択肢として残すべきでしょうか。これは現実問題として意見の分かれるところですが、私自身は支払うべきではないと考えています。というのは、第一に、支払ったからと言って必ずしも復旧するとは限らないということです。第二は、要求に屈することはランサムウェア被害を助長し、いわば資金を与え、その犯罪に加担したことになるからです。
ランサムウェアに感染し、実際に被害に苦しめられている立場で考えると、そうは言えない、いわゆる「綺麗事」と考える人もいますが、少なくとも安易に要求に屈しないことは絶対に必要です。その理由は、ランサムウェアに感染し、ファイルが暗号化され、パソコンやサーバーで作業が出来なくなったとしても、身代金の支払いに応じなくとも復旧できる可能性があるからです。しかもその可能性は小さくはありません。
私を含む神戸大学工学部電気電子工学科情報通信研究室ではランサムウェアの研究を行っています。もちろん、その被害から救うための研究開発です。ランサムウェアに感染しないための予防方法やランサムウェアの解析、つまり仕組みの探求の他に、もし感染したとしても、容易に復旧する方法の開発も行っています。残念ながら、まだ研究途上であり、すべてのランサムウェアによる被害から復旧する方法の開発には至っていませんが、一部のランサムウェアに対しては自動的に復旧する方法を開発し、実装しています。昨年1月の時点で、国内で感染しているランサムウェア被害のうち、約50%については自動的に復旧可能であることを調査結果として示しています。
また、そのシステム実装として、我々が開発したUSBメモリを感染したパソコンに挿すだけで、もちろん身代金を払うことなく復号を行い、元通りパソコンやサーバーを復旧させるデモも行っています。