ランサムウェア攻撃の被害を受けた企業のなかには、巨額な身代金を要求されたケースも珍しくありません。とはいえ、実際ランサムウェア攻撃に遭ったことがない企業も多く、「ランサムウェア攻撃で身代金は払うべきなのか」や「どのような要求方法で脅迫されるのか」などと、疑問をお持ちの担当者も多いのではないでしょうか。
今回は身代金を要求される脅迫文や身代金要求額、ランサムウェアを通じて身代金要求にあった企業事例について解説します。
この記事の目次
ランサムウェアの身代金は「払わない」
ランサムウェアの被害では、身代金を支払ったとしてもデータの暗号化は保証されません。身代金の支払い損になるだけでなく、奪われたデータを外部公開される恐れもあります。そのため内閣サイバーセキュリティーセンターが推奨するように、払わない前提で対応するとよいでしょう。
身代金を要求される脅迫文
ランサムウェア攻撃の1つである「WannaCry」に感染すると、コンピュータのファイルが暗号化され、コンピュータが使用できない状態になります。そして時間制限と支払方法を指定する画面とともに、以下のような脅迫文が表示されます。
画像感染した場合に表示される画面の一例/大阪府警察より引用
- 重要なファイルはすべて暗号化されているためアクセスできなくなりました
- 暗号化されたファイルを回復するためにはBitcoinの送金が必要です
上記のような見慣れない脅迫文と時間経過に焦る方も多いと思いますが、冷静に対処するようにしましょう。特に「時間制限に達した場合は、データをすべて削除します」といった緊急性を強調してくる脅迫文には注意が必要です。
ランサムウェア身代金の平均支払額は約100万円!?
ランサムウェアで要求される身代金はいくらなのでしょうか。2022年にパロアルトネットワークスが発表した情報では、2022年の1月から5月のたった4か月だけでも平均支払額は92万ドルと、100万ドルに迫る勢いであり、これは2021年から71%増加しています。
参照ランサムウェア身代金の平均支払額は100万ドルに迫る–パロアルトネットワークス
ランサムウェアの身代金を要求された被害事例
ランサムウェアの身代金を要求された事例はあるのでしょうか。ここでは、近年話題になった以下の4つの企業事例を紹介します。
- 徳島県つるぎ町立半田病院
- 株式会社カプコン
- 多摩都市モノレール
- Kaseya
それぞれの企業が「ランサムウェアを通じて要求された身代金額や被害内容」について具体的に解説していきますので、参考としてご覧ください。
徳島県 つるぎ町立半田病院
「つるぎ町立半田病院」はランサムウェアのサイバー攻撃を受け、電子カルテをはじめとする院内システムがロックされました。そして2021年10月31日から2022年1月4日までの間、通常診療を行えない被害が生じました。
またハッカーは3万ドルを病院が支払ったと主張していますが、警視庁もつるぎ町も身代金を支払う意向はないと表明していたため、支払った事実があるかどうかは今でもわかっていません。一方でデータ復元を依頼されたIT業者が交渉し、身代金を支払ったのではないかといわれています。
株式会社カプコン
大手ゲームソフトウェアメーカーの「カプコン」は2020年11月2日に旧型VPN装置に対するランサムウェア攻撃を受け、脅迫文とファイルの暗号化被害を受けました。幸いにも、脅迫文には身代金額の記載はなかったため、警察と相談のうえ身代金の交渉はされませんでした。
一方で、ハッカー自身のWebサイトにてカプコンから盗んだと主張するファイルを公開するとともに、身代金として1,100万ドルのビットコインを要求したと主張しています。
多摩都市モノレール
「多摩都市モノレール」では、2018年7月10日に一般業務系ファイルサーバに格納されたファイルへのアクセスが突如不可能になりました。アクセス制限から間もなく、英文でアクセス制限の解除と引き換えに金銭を要求されました。その後、復旧したかどうかは公開されていません。
Kaseya
ITシステム管理サービスを提供している「Kaseya社」は、2021年7月5日にランサムウェア攻撃を受け、Kaseya社のサービスを利用する企業の約1,500社が被害を受けていると発表しました。ハッカーは7,000万ドルを要求しましたが、Kaseya社はハッカーからの要求には応じず、何らかの方法で復号鍵を入手し7月22日には復旧対応を始めました。
さらにハッカーはKaseya社の顧客企業に対しても、「2万5,000ドルから500万ドルの間の金額で個別に身代金を支払えば助けてやる」という脅迫文を送ったといわれています。身代金の要求が自社だけでなく顧客企業にまで及んだ事例として、覚えておくとよいでしょう。
ランサムウェアの身代金を支払った被害事例
ランサムウェアの身代金を実際に支払うとどうなるのでしょうか。ここでは、実際にランサムウェアの身代金を支払った企業事例について以下の3つを紹介します。
- Brenntag
- Colonial Pipeline
- CWT Global
どのような経緯でランサムウェアの身代金を支払ってしまったのか、参考として見ていきましょう。
Brenntag(ブレンターク)
ドイツの化学品流通サービス商社である「ブレンターク」は、2021年5月に150GBのデータをランサムウェアにより盗まれました。ハッカーはデータを盗んだ証拠に、Webサイトで盗んだデータのスクリーンショットを公開しました。数日間に及ぶ交渉の結果、盗まれたデータの返却を条件に身代金「750万ドル」のうち440万ドルを支払い解決に至りました。
Colonial Pipeline(コロニアル・パイプライン)
アメリカ最大のパイプラインである「コロニアル」は、2021年5月にランサムウェアの攻撃を受け、操業を停止せざるを得なくなりました。攻撃を受けたデータのアクセスが不可能になり、さらに盗まれた情報の一部をインターネット上で公開するという脅迫を受けました。
またコロニアルへのランサムウェア被害を受けて、アメリカ東海岸の一部でガソリンとジェット燃料の供給が滞り、アメリカ全土がパニック状態になりました。当初コロニアルは身代金を支払わないと表明していましたが、事態を収めるために最終的には440万ドルをビットコインで支払いました。
CWT Global(カールソン・ワゴンリー・トラベル)
フランスのビジネス旅行の専門業者である「カールソン・ワゴンリー・トラベル」は、2021年7月に2TBのデータにランサムウェアによる攻撃を受け3万台のコンピュータが被害を受けました。当初1,000万ドルの身代金を要求されましたが、最終的に450万ドルの支払いに決着しました。
身代金を支払う前に専門家に相談する
データを復号したい・どう対処すればわからないという場合は、自社内で対応を完結しようとせず専門家や警察に相談することを推奨します。特に、サイバーセキュリティの専門家であるフォレンジック調査会社では、感染経路・被害範囲の特定やデータの復号に対応できるケースがあります。
身代金を払ってしまうと、犯罪組織に資金と情報を提供し二次被害に繋がる可能性があります。身代金を支払ったとしてもデータが本当に復号できる保証はなく、極めてリスクの高い行為です。より安全にデータを復元したい場合は、専門家に相談しましょう。
相談から見積もりまで無料で対応している業者もあるため、個人での対処が難しい場合、条件に見合う適切な専門業者に相談することをおすすめします。
おすすめのランサムウェア感染調査会社:デジタルデータフォレンジック
こちらのデジタルデータフォレンジックは、ランサムウェアの感染調査に対応している調査会社です。フォレンジック調査において2万3,000件を超える相談実績を持つだけでなく、運営会社を同じくする14年連続No.1のデータ復旧サービスと連携し、感染被害企業をトータルサポートしてくれます。
- 官公庁法人・捜査機関への協力実績多数
- 国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
- 警視庁からの表彰・TVや新聞紹介など豊富な実績
- 年中無休のスピーディーな対応
24時間365日の問合せ窓口があり、相談・打合せ・対応費用の見積もりまで無料で対応してくれるため、ランサムウェア感染が疑われる場合はこちらに相談すると良いでしょう。
よくある質問
最後に、ランサムウェアの身代金に関する質問に答えます。
- Q1.ランサムウェアで身代金を要求する代表的な手口を教えて下さい
- Q2.ランサムウェア感染後に身代金を支払う行為は法律違反になりますか?
身代金の基本的な内容についても理解できますので参考にしてください。
Q1.ランサムウェアで身代金を要求する代表的な手口を教えて下さい
A.ランサムウェアで身代金を要求する代表的な手口は以下の3つです。
- データを暗号化し復旧のための身代金を要求する手法
- 盗んだデータを公開すると脅迫し身代金を要求する手法
- ハッカーが被害企業の顧客や利害関係者へ支払いを求める手法
いずれの手口においても、顧客やビジネスパートナーからの信用失墜につながり、ビジネスへ大きなインパクトを与える可能性があります。自社が被害を受けないためにも、上記の代表的な身代金要求手口は、最低限理解しておきましょう。
Q2.ランサムウェア感染後に身代金を支払う行為は法律違反になりますか?
A.日本では、まだ身代金に関する法整備が整っていませんので、身代金を支払っても法律上問題にはなりません。ただし今後法整備が進み違反になる可能性もありますので、都度確認するとよいでしょう。
またアメリカでは、身代金を支払った相手が米国財務省外国資産管理局(OFAC)の制裁対象組織リストにあるグループに所属していた場合、企業は法的責任を問われます。国によって身代金支払いに関する法律上の扱いが異なりますので、注意してください。
まとめ
ランサムウェア攻撃では、データを復旧させるためや、利害関係者に迷惑を与えないためなどと、巧妙な口実で身代金が要求される場合があります。
しかし、身代金額は膨大であり、仮に身代金を支払ったとしても確実に解決するともいえません。そのためランサムウェア攻撃を受けたときは、冷静に対応する必要があります。
今回紹介した「身代金の要求があった企業事例」を参考に、自社がランサムウェア攻撃を受けた際にはどのように行動するかをあらかじめ想定していくとよいでしょう。ランサムウェアの身代金についての知見を蓄え、いざというときの攻撃に備えるのが自社セキュリティを強化するうえで重要です。