それが問題なのである。いわゆるランサムウェア攻撃が激増していて「え、なんでウチみたいな会社も狙ってくるの」と驚いている経営者も多いと聞く。不意を突かれて、心構えもできていないと、ハムレットさながらに悩むことになる。この種の案件は記事になることも少なく、多くは闇から闇に葬られていた。2年近く前米国のある自治体が攻撃を受け、議会で身代金の支払いを決めた件など例外だった。
しかし去年は<コロニアル・パイプライン事件>など、かなりの内容が報道されるようになった。この事件では同社は身代金を支払って復旧を果たした。後にFBIが身代金の相当部分を奪還したとされる。一方徳島県の半田病院では支払いをせず、時間と費用を掛けて自前復旧をした。長期間にわたって診療に支障が出て、どうすべきだったかについては議論があろう。
「払うべきか、払わざるべきか」は悩ましいことだが、この記事によると被害企業の5割ほどが、支払いをしているという。
身代金攻撃を受けた企業の半数が「要求額の全額」を支払い | Forbes JAPAN(フォーブス ジャパン)
母集団をどうとっているかが分からないが、一般に日本企業は払わない傾向がある。警察庁でも、命令というわけではないがなるべく支払わないようにと言っている。その身代金を使って、犯罪組織が次の犯行を行う可能性も高いからだ。ただ明確に特定の機関・国・組織(例:北朝鮮)に渡ると分かっているケース以外は、法的に身代金支払いを禁じることはない。
米国では上記コロニアルパイプライン事件のように、FBIに相談した上で身代金支払いをしていて、早期復旧を優先させるケースも目立つ。どちらが正しいか、これは一概には決められない。ランサムウェア被害を受けた場合、被害実態の確認・復旧への努力・関係機関への説明などに追われるが、もちろん犯行グループとの交渉が重くのしかかってくる。上記の記事にあるように「交渉人」という新ビジネスも出てきたようだが、素人でもまず支払いをぎりぎりまで引き延ばすことは必要だろう。
犯行グループは特にとびぬけた技量を持っていなくても、闇Webでランサムウェア攻撃そのもののサービスを手に入れることもできます。危機は高まっているので、企業は(交渉人を雇うかは別にして)本気で備えをするべきだと思います。
