「身代金を支払う」のは得か損か？　ランサムウェア攻撃で迫られる苦渋の選択：ランサムウェア攻撃者との交渉ガイド【後編】

FBIはランサムウェア被害における身代金支払いには反対する立場だが、企業が事業継続のために支払いをせざるを得ない場合があることも認識している。企業はどう対処すべきなのか。

≫ 2025年06月02日 08時00分公開

身代金を交渉するメリットとは

併せて読みたいお薦め記事

連載：ランサムウェア攻撃者との交渉ガイド

前編：ランサムウェア集団への「身代金支払い」を企業が拒否し始めた理由

ランサムウェア被害が減っている理由

　ランサムウェア攻撃の際には経営陣は身代金を支払うコストと、支払わずに自力で復旧できるかどうかを、“てんびん”にかけなければならなくなる。考えなければならないのは、回復に要する時間とコスト、失われたデータの価値と業務停止時間の影響などだ。契約しているサイバー保険の内容も、交渉するかどうかの判断を左右する。

　企業が身代金を支払わないとしても、攻撃者との交渉にメリットがある場合もある。交渉には少なくとも24時間、通常はそれ以上の時間を要するが、これは被害状況を調査できる時間として貴重だ。法律事務所Clark Hillでサイバーセキュリティ、データ保護、プライバシー領域を統括するメリッサ・K・ベントローネ氏をはじめとする専門家によれば、この間に復号キーを他の方法で入手できるか、バックアップファイルが十分か、身代金を支払わずに復旧できるかを判断できるという。

ランサムウェア交渉のメリットとは？

　攻撃を受けた企業が攻撃者と交渉するメリットもある。メリットの例として以下が挙げられる。

身代金の減額
- ベントローネ氏によれば支払額には数千ドルから数百万ドルまで幅がある。
被害の一時抑止
- 「攻撃の最中に相手と連絡を取れば、相手は攻撃を停止し、二次攻撃を実行しないだろう。その間にバックドアを閉じたり、復旧に向けた対応を進めたりできる」とベントローネ氏は述べる。
被害状況確認時間の確保
- 「交渉に時間を費やしている間に、攻撃とその被害がどうだったか、暗号化または抜き取られたデータの内容、そして復号キーが入手可能かどうかを調べられる」と、HIMSS(病院情報管理システム学会)北米支部のサイバーセキュリティおよびプライバシー担当上級主任リー・キム氏は述べる。
セキュリティレポート
- システムに侵入するために用いた脆弱（ぜいじゃく）性を被害者に知らせる攻撃者集団もある。こうした情報は、被害を受けた組織の防御力を強化し、将来的なインシデントの防止につながる可能性がある。
被害状況の確認と、復号可能性の検証
- ベントローネ氏によれば、熟練した交渉人であれば、実際にランサムウェアグループが主張している通りにデータが盗まれたかどうか証拠をつかむことができるという。
- 攻撃者が提示する復号方法が実際に機能することを実演させることも可能となる。
法執行機関やセキュリティコミュニティーとの情報共有
- 「交渉によって攻撃者集団の本拠にしている国や手口など、有用な情報が得られることもある」と、サイバーセキュリティコンサルティング企業S-RM Intelligence and Risk Consulting（S-RMの名称で事業展開）で米国のサイバーセキュリティ責任者を務めるポール・カロン氏は述べる。

ランサムウェア交渉の危険性は？

　攻撃者集団とあえて交渉に臨むなら、そのデメリットについても十分に理解しておく必要がある。米国サイバーセキュリティ・インフラセキュリティ庁（CISA）によれば、交渉には以下のような重大なリスクが伴う。

データに再びアクセスできる保証はない
- CISAは、身代金を支払ったにもかかわらず、復号キーが提供されないケースがあると指摘している。
サイバー犯罪者は同じ組織を再び狙う可能性がある
- CISAによれば、一度身代金を支払っても、さらに追加の支払いを強要された被害者も存在する。
交渉が犯罪行為を助長する恐れがある
- 攻撃者に協力する企業がいると分かれば、この犯罪行為に手を染めようとする者が増えるリスクがある。

　倫理的な問題も議論の対象となる。ベントローネ氏が挙げるのは「金が犯罪者の手に渡る」ことだ。「われわれは、身代金の支払いが本当に検討に値することなのか、可能な限りクライアントと話し合うようにしている」（同氏）

対ランサムウェア交渉戦略

　CISAは、FBI、国家安全保障局（NSA）、多州間情報共有・分析センター（MS-ISAC）と連携し、対ランサムウェア攻撃の指南書を作成している。インシデント時の以下の主要フェーズにおいて、被害を受けた企業が取るべき対応を助言している。

ランサムウェアの検知と分析
報告と告知
封じ込めと排除
復旧と事後対応

　弁護士、セキュリティの専門家、プロの交渉人たちは、対ランサムウェア交渉で実際に目にしたり用いられたりした戦術について詳細は明かさない。だが、彼らは「交渉は目標を絞り込むべきだ」と言う。カロン氏によれば、単に身代金の減額を目標とするのではなく、攻撃者集団が狙ったデータの詳細を聞き出し、データ盗難の証拠を入手することも交渉の重要な目的だ。「攻撃者集団の正体や所在、さらには将来の被害者を救うのに役立つ情報の収集も試みるべきだ」と同氏は指摘する。

　カロン氏は「交渉人はランサムウェアグループに対し、暗号化されたファイルを復号できる能力があることを示すよう働き掛けるべきだ」と述べる。加えて、被害者側に有利となるよう交渉のペースを調整する戦略も使う。例えば、業務再開を急ぐ場合は迅速に進め、調査のための時間を稼ぎたい場合には意図的にゆっくり進める。

対ランサムウェア交渉の成功確率

　CISAをはじめとする関係機関は、攻撃者集団がどのような約束をしたとしても、犯罪者と交渉して身代金を支払っても、期待した通りの結果が得られるとは限らないと警鐘を鳴らす。

　一方で、利益の面から評判を気にする攻撃者集団もいるようだ。ベントローネ氏とカロン氏によれば、身代金交渉をした被害者は多くの場合、支払った金額に見合った成果を手に入れ、再び標的とされることは少ないという。

　「攻撃者集団の多くは、一度身代金を受け取れば再度攻撃することはない。これは彼らにとって重要な『評判』の問題なのだ。彼らは約束を守れば、『将来の被害者』も身代金を支払うだろうと期待している」（ベントローネ氏）

TechTarget発　世界のインサイト＆ベストプラクティス

米国Informa TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

TechTargetジャパントップセキュリティ