清水理史の「イニシャルB」
ランサムウェアに感染! あなたならどうする? 500ドルで得るもの失うもの
(2016/5/16 06:00)
もしも、自分のPCがランサムウェアに感染したとしたら……。あなたは自信をもって身代金の支払いを拒否し、そのことを素直に自分が所属する組織に報告できるだろうか? 過去に多くの被害者が決断してしまった「身の資金支払い」の誘惑から逃れる方法はあるだろうか?
ケーススタディ:知っているのは自分だけ
連休明けに予定された仕事の準備をしておこうと、休日出勤で会社のPCに向かうAさん。
いつも通り、PCを立ち上げ、メールをチェックしていると、「休日出勤の注意」というタイトルのメールが……。
添付されていた「休日出勤の新ルール」というファイルを開いたところ、しばらくしてメモ帳とフォトとブラウザの3つのアプリが自動的に立ち上がってきた。
よく見ると、メモ帳のテキストも、フォトで開かれた文字が書き込まれた画像も、ブラウザで表示されたHTMLファイルも、記載されている内容はすべて同じ。
「What happened to your files?」という見出しとともに、「All of your files were protected by a strong encryption with RSA-4096」と記載されている。
「まさか!」と思って、PC上のファイルを確認すると、作業しようと思っていたWordの文書が文字化けしたような判読できない文字になっており、画像やPDFはエラーで表示できない。それも、あらゆるフォルダのすべてのファイルが、ことごとく。
不安になって、ファイルサーバーを確認すると、ネットワークドライブとして割り当てていた部内の共有文書も、すべて同じ状態に……。
「連休はしっかり休むんだ」と休み前に残業で無理して資料を仕上げていたBさん、「本当に間に合うのか?」と進捗に厳しい上司、別プロジェクトでトラブルをかかえ最近周囲へのあたりが強いCさん、それぞれの顔が頭をよぎる。
慌てて、表示されたHTMLファイルの内容を読み込むと、「What do I do?」という見出しで、その後の対処方法が、ステップバイステップで記載されている。torブラウザをダウンロードし、アドレスバーに記載されている文字列(xzjvzkgjxebzreap.onion/A6E83E719C803B82)を入力しろと催される。
無事にウェブページにアクセスすると、米ドルで500ドルを支払うことで復号用の鍵を送ると表示され、160時間後に価格が上昇し、最終的には1000ドルになることが表示された。
支払いはどうやらbitcoinを使うようで、口座の作成先となるサービスやその方法まで丁寧に解説されている。
1ファイルだけ無料で復号できるようなので、こちら側の情報が特定できそうもないファイルを送信してみると、数分後に見事に元どおりに開けるようになったファイルをダウンロードすることができた!
再び、同僚や上司の顔が頭をよぎる。このままでは、連休明けに大騒ぎになることが容易に想像できる。「どうして、そんなメールを開いたのか?」、「確認できなくなった情報をどうしてくれるんだ?」、自分の仕事が完全停止するだけでも十分にダメージは大きいのに、周囲から予想される重圧に心も痛くなる。自分の評価はどうなるのだろう?
とりあえず、対処方法はないか? と情報を検索してみると、同様の被害のニュース記事が多く見つかるほか、実際に身代金を支払って解決したという海外の病院の事例がひっかかってきた。
1ファイルだけのお試しも復号できたんだから、500ドル支払えば何とかなるかもしれない……。今なら、誰も見てないし、ファイルを元どおりにしておけば、誰からも文句を言われることもない。時間はロスするかもしれないが、自分の仕事も何とかなる……。でも……。そんな考えが、何度も頭の中で繰り返される。
屈するケースは少なくない
上記はランサムウェアとして知られるteslacryptを実際にPCに感染させて動作を検証しながら作ってみたケーススタディだが、さて、あなたがAさんの立場なら、実際にどう行動するだろうか?
一般常識で言えば、支払うべきではないし、すみやかに会社に報告すべき事案であることは間違いない。
しかし、昨年あたりからランサムウェアの被害が日本も含めて拡大しつつある背景には、こういった葛藤の結果、脅迫に屈して身代金を支払うケースが少なからず存在するからに他ならない。
先に触れたロサンゼルスの病院の例(他媒体で恐縮だがZDNet Japan「被害総額30億円以上--実際の事件から考えるランサムウェアへの対策)などもそうだが、「身代金を支払う」という行為が、問題解決の一つの選択肢として存在することは、すでに世間に広く知れ渡っている。
また、関係各所の取材を通して聞こえてくる声の中にも、「企業側が支払うことを強く止めることはできない」「最終的には企業側の判断」というものがあり、身代金を支払わずに暗号化されたファイルを復号しようとした際に、身代金以上のコストと時間がかかることが暗に示されることも珍しくない。
冷静に考えても支払うことを選択するケースがあるのだから、個人が突然被害に襲われ、500ドルという個人で支払うことが不可能ではない金額を提示され、自分の中だけで問題を解決できる可能性が提示されるという巧妙なやり口は、まさに悪魔のささやきとでも言ったところで、支払いに対して葛藤を生むことは間違いない。
そういった意味では、彼らのビジネスは、実にうまく考えられている。我々にとっては悲劇でしかないが、身代金を請求する側と支払う側の利害を一致させるために、金額をうまく設定し、支払いに対して確実に鍵を渡すことをお試し機能で信頼させ、支払いをスムーズにさせるための丁寧なドキュメントで徹底して作りこんでいる。
ある意味、一般的な企業よりも、よほど顧客のことを考えて、投資すべき点にはきちんとコストをかけている。悔しいが実にうまく考えられたビジネスだ。
しかしながら、彼らに成功体験を与え、支払った身代金が次の原資となることを考えると、このまま放置しておくことは得策ではない。では、どうすればいいのだろうか?
失うものを考えておこう
前述したランサムウェアのエコシステムは、支払った方が得、という考え方がベースになっている。このため、この部分を変えること、つまり「支払うこと=損」という考え方を定着させることが非常に重要だ。
現状、ランサムウェアの身代金を支払うことのデメリットとして、よく挙げられるのは、以下の2点だ。
・復号できる保証がない
・攻撃者側の原資になる
前者は個人、および企業として、後者は社会的な立場での考え方だ。確かにその懸念は当然だが、残念ながら、そうとは言い切れないことは先に触れた通りだ。むしろ、支払いが解決につながるケースすらある。また、彼らの目的は、目先の金銭を得ることに加え、このエコシステムを維持し拡大させることであることは確実だ。そう考えると、信頼を裏切るような行為は、エコシステムのサイクルを自らの手で止めることになるので、まったく得策ではない。
後者は、社会的な視点で考えた際のデメリットだ。これも当然の考え方だが、身代金を支払う段階で、実際に支払いをする個人や企業組織が、そこまで社会的な影響を考慮するとは考えにくい。最終的に、モラルや法令順守という観点で、批判されたり、イメージダウンにつながるという点では、身代金支払いの抑止力になるかもしれないが、個人が支払いをあきらめる理由としては、いささか遠すぎる。
このため、その影響をもっと体系立てて整理する必要がある。状況や立場、環境によって違いはあるかもしれないが、個人として、企業として、社会として、という3つの観点で、支払わなかった場合のデメリットとメリットを整理してみたのが以下の表だ。
支払わなかったということは、少なくとも個人、企業レベルでは被害を報告・公表したということになるため(社会的に公表しないケースも考えられる)、その部分まで考慮して、項目をまとめてある。
個人として | 企業として | 社会として | |
デメリット | 個人的な責任の追及 | 組織的(部門)な責任の追及 | 社会的(企業)な責任の追及 |
人事評価への影響 | 人的・組織的パワーバランスの変化 | 社会的信頼の低下 | |
個人的な評判の悪化 | 他部署・他社への迷惑 | 株価への影響 | |
時間的損失 | 信頼低下 | 説明責任・報告義務 | |
周囲からの重圧 | 金銭的損失(対策直接・機会損失) | ||
メリット | 被害の深刻化防止 | 被害の拡大防止 | 被害の拡大/エコシステム停止 |
自己肯定 | 企業統治の徹底 | 法令順守 | |
申告に対する評価 | 組織的な対策が可能に | 外部リソースの活用(警察・ベンダー) | |
適切な報告に対する評価 | 公表に対する社会的評価 | ||
情報共有による注意喚起(連鎖の防止) | 情報公開による注意喚起 |
表を見ると、支払いを避け、被害を公表するということは、やはり個人レベルではメリットが少ない。このことが、支払いを加速してきた原因であるわけだが、その一方で、デメリットに注目してほしい。
身代金を支払わずに、被害を上司や会社に報告すれば、データ消失に対しての時間的な損失だけでなく、個人的な責任が追及されたり、人事評価に影響を与えたり、周囲からの重圧に悩まされることになるが、これらは環境によって改善できる項目である。
つまり、ランサムウェアに限らず、マルウェアへの感染は個人的な過失であるとは考えず、誰にでも発生し得るリスクであると考え、そのことに対して個人的な責任を追及するような環境を作らなければ、デメリットとはならない可能性があるわけだ。
これはなかなか難しいが、「怒らない、罰さない」というのは事件の隠匿を避けるのに効果的であることを考えると、この風土を作ることが実は非常に重要と言える。このことは、企業、社会を対象として考えた場合も同様だ。部門や企業に重要な事故を隠匿させないようにするためには、それを責めない風土が必要となる。
このような風土を社会全体で築くことは、マスメディアの報道方法などを含めて、かなり大がかりな話になってしまうが、企業内であれば改革は不可能ではない。社内のセキュリティ担当だけでなく、経営層が中心となって、問題に取り組む姿勢を示せば、身代金を支払って事故を隠匿するような考え方のデメリットを強く意識させることは不可能ではないはずだ。
とはいえ、それには時間がかかる。そこで注目したいのが、メリットの部分だ。中でも、企業や社会の立場で考えた場合の組織的な対策や外部リソースの活用というメリットは非常に大きい。
ランサムウェアは企業内の個人をターゲットに、うまくその心理状況を突いて金銭を搾取する。問題が個人にとどまると、どうしても悪魔のささやきに耳を傾けたくなるが、組織や企業、社会全体として、この問題に取り組める環境があれば、そこまで「ささやき」は甘く聞こえないはずだ。
冒頭の病院の例は少々特殊なため(最悪人命にかかわる)、組織として検討しても、結果的に身代金を支払うという選択をする可能性もあるが、事件を公表することで社会的なバックアップも受けた方が問題解決がしやすい可能性もある。
もちろん、時間や費用がかかるかもしれないが、単純に「身代金を支払う時間と費用」と「データの復元にかかる時間と費用」を比べてしまうと前者が勝る。しかし、その後の社会的な信用などを損失として考えれば、決して前者の方が得とは言い切れない。ランサムウェアに限らず、セキュリティ被害は、社会的影響をどこまで考慮するかが実はとても重要だ。
感染後の対策が重要な時代に
以上、自分ならどうするか? と考えはじめたことをきっかけに、ランサムウェアに感染した場合の対処方法を検討してみたが、手口が巧妙化している以上、感染を防ぐことだけを考えていても、結果的に被害は防げないと言えそうだ。
以前、本コラムでランサムウェア対策としてバックアップの重要性を紹介したが、同様に個人の考え方や組織の対応など、どちらかというと感染そのものよりもその周囲の対策が重要と言える。
比較的、大規模な企業やセキュリティ意識の高いIT担当が存在する企業であれば、そんなことは常識と言われるかもしれないが、「ウイルス対策ソフトを入れれば十分」と考えている企業が圧倒的に多い状況を考えると、その考え方こそ改善しないと、根本的な解決には至らない。
災害発生時の緊急対応と同様に、感染したらどうすればいいのか? 企業人として、社会の一員としてどのように考えるべきなのか? テクニカルな話はもちろんだが、どちらかというと人の考え方を教育することが大切と言える。そう言った意味では、セキュリティ対策は、今後は企業の人事部門などでも真剣に考えてみる課題と言える。なかなか根の深い問題だ。