なぜ被害者は身代金を支払ってしまうのか？ランサムウェアの狡猾な脅迫手法

16％の組織は身代金を支払っている

トレンドマイクロを含めたサイバーセキュリティベンダやセキュリティの有識者の多くは「ランサムウェア攻撃者には身代金を支払うべきではない」と推奨しています。また、この主張はメディアでも多く見かけるようになっており、その認識も広がってきていると考えられます。

一方で、実際にランサムウェア攻撃者に身代金を支払ってしまう組織も一定数存在します。トレンドマイクロが過去に実施した調査では、ContiおよびLockBitのリークサイトで一度情報が公開され、その後に削除された被害組織を、身代金を支払ったものとして、身代金支払率を算出したところ約16％だったことがわかっています。

なぜ、身代金を支払ってしまう組織がいるのでしょうか。その背景には、ランサムウェア攻撃者が用いる狡猾な脅迫手法があります。ランサムウェアがPCやサーバを暗号化したときに表示される脅迫文（ランサムノート）の事例を紹介しながら、ランサムウェア攻撃者がどのようにして、被害組織に身代金の支払いを迫っているのかを解説します。

ランサムウェア攻撃者はどのように脅迫しているのか？

暴露による脅迫（二重脅迫）

ランサムウェア攻撃者が脅迫に用いる常套手段として、暗号化する前に窃取した被害組織のデータを、身代金が支払われない場合にリークすると脅す手法が挙げられます。「二重脅迫」と呼ばれており、多くのランサムノートの文面からもうかがえます。重要な経営情報や技術情報が漏洩するだけでなく、取引先や顧客情報なども公開される可能性があります。これにより、企業の信用が失墜し、顧客や取引先との関係が損なわれる可能性があります。

An unfortunate situation has arisen - your digital ecosystem has been compromised, and a substantial amount of confidential data has been exfiltrated from your network. The potential ramifications of this could be dire, including the sale, publication, or distribution of your data to competitors or media outlets. This could inflict significant reputational and financial damage.

残念ながら、組織のデジタルエコシステムが侵害され、大量の機密データがネットワークから持ち出された。これによる潜在的な影響は深刻であり、データが競合他社やメディアに売られ、公開され、または配布される可能性がある。これにより、評判や財務への重大な損害が発生しうるだろう。

ランサムウェア「Rhysida」の脅迫文（一部）　日本語はトレンドマイクロが翻訳して追記

タイムリミットの設定

二重脅迫と併用される脅迫手法として「タイムリミットの設定」があります。「期限までに返信しないと盗んだ情報を公開する」や「返信が遅れるほど身代金の額が増える」といった文言で脅してきます。この手法は、被害者に対して時間的制約と経済的な損失の増加という二重の圧力をかけています。

Make sure to act within 72 hours or the negotiations will be considered failed! Inform your superior management about what’s going on.

72時間以内に行動しなければ、交渉は失敗したとみなす。上層部に何が起きているのかを報告せよ。

ランサムウェア「MedusaLocker」の脅迫文（一部）　日本語はトレンドマイクロが翻訳して追記

法律による罰金

GDPR（General Data Protection Regulation：EU一般データ保護規則）は企業や組織のセキュリティ違反に対して罰金が課される法律であり、その金額は非常に高額です。最大で年間売上高の4%または2,000万ユーロのいずれか高い金額が課せられる可能性があります。この法律を脅迫文に用いるランサムウェアも存在します。「罰金の金額よりも身代金を支払ったほうが安く済む」といったような文言も見受けられます。

You will receive fines from the government such as the GDRP and many others, you can be sued by customers of your firm for leaking information that was confidential.

GDPRなど政府からの罰金が課されたり、情報漏洩による顧客からの訴訟を受けたりする可能性がある。

ランサムウェア「LockBit3.0」の脅迫文（一部）　日本語はトレンドマイクロが翻訳して追記

第三者への連絡に対する警告

警察組織やセキュリティ企業への連絡を禁止するような文言も脅迫文の中でよく使われます。これは、被害者が外部の支援を求めることを阻止し、身代金支払いを促すための戦略といえます。

DON'T TRY TO CONTACT feds or any recovery companies. We have our informants in these structures, so any of your complaints will be immediately directed to us. So if you will hire any recovery company for negotiations or send requests to the police/FBI/investigators, we will consider this as a hostile intent and initiate the publication of whole compromised data immediately.

連邦捜査局や復旧会社に連絡しようとするな。これらの組織には我々の内通者がいるので、連絡したことがすぐに明らかになる。そのため、もし交渉のために復旧会社を雇ったり、警察/FBI/調査官に依頼を送ったりした場合、私たちはこれを敵意とみなし、直ちに漏洩したデータ全体の公開を開始する。

ランサムウェア「Monti」の脅迫文（一部）　日本語はトレンドマイクロが翻訳して追記

ランサムウェア攻撃者は上記で紹介した脅迫手法以外にも、様々なアプローチで脅迫を行います。特に、「経済合理性の観点から身代金を支払うべきである」というメッセージを強く主張してきます。これは被害者心理を巧みに利用した手法であるといえます。「身代金を支払うべきではない」と認識している組織であっても、ランサムウェアの被害に遭うと、自組織のデータやシステムの価値と復旧にかかる時間やコストを比較し、身代金支払いが経済的に合理的な選択であると判断してしまうのでしょう。

それでもランサムウェア攻撃者には身代金を支払わない判断をすべき理由

ランサムウェアの被害者心理を踏まえた上で、それでもランサムウェア攻撃者には身代金を支払わない判断をすべきだといえます。その理由を以下に述べます。

データの復旧が保証されない

攻撃者が身代金を受け取った後でも、データの解読や復元が行われない、または不完全な形で行われる可能性があります。相手は犯罪者であり、信頼できる組織ではないという認識が必要です。

身代金を支払う企業だと認識される

身代金を支払うと、攻撃者はその企業を「支払い可能な標的」と見なす可能性があります。これにより、同じ攻撃者や他の攻撃者から次なる攻撃の標的にされるリスクが高まります。身代金を支払えば問題が解決するとは限りません。

新たな法的問題と罰則が課されるリスク

ランサムウェア攻撃者への身代金の支払いは外為法などの法律に抵触する可能性があります。経済制裁措置及び対象者リストに身代金を支払ったランサムウェア攻撃者が含まれている場合は外為法の対象となります。

また、組織として身代金を支払わなくてよいような体制を作っておくことが求められます。身代金を支払わないための対策として最優先で取り組むべきことはデータやシステムのバックアップです。LockBit3.0によってシステムが停止した名古屋港では、3日というスピードでシステムの復旧が行われました。トレンドマイクロの調査では、ランサムウェアの業務停止期間は国内で平均13日かかることがわかっており、これと比較すると名古屋港の事例は迅速に復旧できたといえます。これは名古屋港のシステムのバックアップ体制が適切であったという証左と言えるかもしれません。

平時における経営層とのコミュニケーションの重要性

実際にランサムウェアの被害に遭ってしまった場合、身代金の支払いの判断は現場でできるものはなく、またアウトソースできるものでもありません。支払うか否かを決めるのは経営層です。また、この判断は組織の今後に大きな影響を与えるため、慎重に行われるべきです。

セキュリティ担当者としては、ランサムウェアの被害が起こっていない平時において、経営層に適切な判断を行ってもらうためのコミュニケーションが重要になります。このコミュニケーションの中で、ランサムウェア被害の具体的な事例やデータともに、ランサムウェア攻撃者がどのように脅迫を行ってくるのか、なぜ身代金を支払う判断をすべきではないのかを説明しておくと、身代金支払いのリスクの理解にも繋がるでしょう。