A CISO’s Perspective on Ransomware Payments
2021/09/01 DarkReading — ランサムウェア攻撃に対して、どのように組織は対応すべきか? 身代金を支払うべきか、それとも、サイバー保険に頼るべきか、その議論はつきない。最近のバイデン政権が発表した、サイバー・セキュリティに関する大統領令に加えて、身代金支払いの制限/禁止や、ランサムウェア攻撃報告の義務化などの、さまざまな法案が提出されたことで、企業は戦略を更新し、変化に備える必要に迫られている。
しかし、National Security Adviser for Cyber and Emerging Technology 補佐官である Anne Neuberger は、Silverado Policy Accelerator のインタビューの中で、ランサムウェア支払いを禁止することは、政策的に難しいと言うべきポジションだと述べている。では、企業はランサムウェアに対して、独自の判断を下すべきなのか、それとも、連邦法からヒントを得るべきなのか?
最近まで、私は、身代金は絶対に払わないという考えを持っていた。それは、ワシントン DC 出身であること、司法省に近いこと、そして、専門グループ内での一般的な考え方に基づくものだった。また、ランサムウェア攻撃に関連する脆弱性を、管理するという職務上の責任感も、私の姿勢を後押しした。脅威アクターの動機をコントロールすることは不可能だが、セキュリティを再構築することで、ランサムウェアに対する組織の脆弱性をコントロールすることは可能だった、と Anne Neuberger は述べている。
私の立場が逆転したのは、2019年に起こったランサムウェア攻撃で、家族である中小企業の経営者に影響が生じたときだった。この会社には7人の事務スタッフがいたが、役員秘書がフィッシング・メールの被害に遭った。この会社は、外部委託している IT 管理者と協力してデータを復旧させたが、ランサムウェア実行犯は $4,000 で問題を解決すると言ってきた。この中小企業の年間売上高は $2 million 強であり、予約データやファイルに完全に依存しており、それらが暗号化され、囚われの身となってしまった。IT 業者は2日をかけて作業したが、データの復旧/復元はできなかった。
そこで私が、セカンド・オピニオンとして、環境の調査を依頼された。当時、ランサムウェア支払いに反対していた、私の信念を受け入れるかどうかという、道徳的な難問に直面した。私は、最新のバックアップがないために、データの回復/再構成が不可能だという管理者の評価に納得した。そして、月曜日の朝になり、予定されていた顧客へのサービスができなくなることで生じる、ビジネス上の影響を考慮した結果として、身代金を支払う方が経済的に得策だと判断した。
私は、身代金に関する交渉を家族に依頼し、それをビジネス・パートナーが仲介し、インターネット犯罪苦情処理センター (IC3 : Internet Crime Complaint Center) に事件を報告した。そして、データの復号化に成功したという証拠を、班員からサンプルとして受け取り、暗号通貨の支払いを行い、地元当局に事件を報告した。
このような、ランサムウェアの攻撃を受けた中小企業の支援という経験により、私の考え方は変わった。現在の議論は、大企業を対象としたものが多い。しかし、サイバー・セキュリティにかける費用が、ほんの僅かしかない中堅/中小企業にとって、ランサムウェア攻撃は存亡の危機だと言えるだろう。残念ながら、それを補うはずの CISO の、求人が増えることは期待できない。なぜなら。多くの企業は、金銭的な損失や風評被害を受けたくないがために、脆弱性を過少に報告してしまうからだ。
いずれにしても、身代金の支払いは難しい選択である。私は、サイバー犯罪者が望むものを提供することについて、全面的に支持しているわけではないが、その方が理にかなっている場合もある。特に、連邦政府のサイバー・セキュリティ大統領令において、重要な方針となっている情報共有に協力する場合には、中間的な立場があると考える。身代金を支払った企業は、その責任において、決定に至った基準を開示すべきだ。サイバー犯罪者に対処した生の声は、企業の株主/顧客/ステークホルダー/政府が、判断の正誤を評価するのに役立つ。そうすれば、ネガティブでも、ポジティブでも、さまざまな反応が得られるだろう。
その一方で、企業を攻撃する動機を失わせるために、ランサムウェア支払いを全て犯罪化するという考え方もある。そうすれは、攻撃による利益が、ほぼゼロになると考えられるからだ。デジタル・ランサムを支払うことは、テロリズムを幇助する可能性があり、サイバー犯罪においても同様だという議論もある。その他の対応策としては、暗号通貨の非合法化という無茶苦茶なものから、サイバー賠償責任保険や、誘拐/身代金保険を中心とした様々なリスク移転のシナリオ、さらにはケースバイケースで法執行機関のみが判断するというものまで、多様な考え方が存在する。
私たちは、自分でコントロールできることに、集中する必要があると思う。私たちは、自分たちの脆弱性とランサムウェアへの対応力を、コントロールすることができるはずだ。攻撃対象をコントロールし、ビジネス環境の可視性を高めることで、侵害/横移動/データ損失を防ぐことができる。そのためには、アプリケーション/ネットワーク/セキュリティに関する対策を、大きく変化させる必要があるかもしれないが、それは組織全体でコントロールできることなのだ。米国の神経科学者である Dr. John Lilly は、「我々の唯一のセキュリティは、我々の変化する能力である」と言っている。
ランサムウェア・ギャングに対する身代金の支払いは、とても難しい問題です。この記事にあるように、中小零細企業にとっては、壊滅的なダメージになる問題ですし、たとえば医療機関などでは、命を救えなくなるという状況にもなりかねません。ただ、社会全体で見れば、こうした犯罪が減る方向へと向かうべきなので、やはり報告義務というのが、妥協点なのかと思ってしまいます。この記事、とても良いですね。
IoT OT Security News 