Written by 夏野ゆきか
目 次
ランサムウェア攻撃によってデータ・ファイルが暗号化されたり、システムがロックされたりすると、業務の継続が困難になる危険性が高いです。
しかしながら、データやシステムの復旧と引き換えに身代金を要求された場合、支払いに応じるべきではありません。
理由は以下の通りです。
- 1. 必ずデータが復旧するとは限らないため
- 2. 身代金を支払うことで、法律に抵触する可能性があるため
- 3. 「身代金を支払う」企業だと攻撃者に認識されるため
身代金を支払ったからと言ってデータが復旧する保証がないうえに、外国為替及び外国貿易法(外為法)や犯罪による収益の移転防止に関する法律(犯収法)といった法律に抵触する恐れもあります。
さらに危険なのが、一度身代金を支払ってしまうと、「脅迫すれば身代金を支払う」企業だと攻撃者に認識され、再度標的になりやすいことが挙げられます。
こうした事態を避けるためにも、身代金を要求された際の対応を事前に決め、マニュアルを作成しておくことが望ましいでしょう。
加えて、以下のような被害を最小限にとどめるための対策を講じておくことも重要です。
- ・ 日頃からのバックアップ取得
- ・ アクセス権限の最小化
- ・ アンチウイルスとEDRの併用
- ・ インシデント対応計画の策定
本記事では、ランサムウェアによる身代金を払ってはいけない理由や効果的な対策などについて解説します。
▼この記事を要約すると
- 近年のランサムウェアの攻撃は、データを暗号化するだけでなく、窃取した情報を公開すると脅す「二重恐喝」、暗号化を行わず、盗んだデータの公開取りやめと引き換えに身代金を要求する「ノーウェアランサム」などの手法が増加している
- ランサムウェア攻撃の身代金要求は応じるべきではない理由は、「必ずデータが復旧するとは限らない」「身代金を支払うことで、法律に抵触する可能性がある」「身代金を支払う企業だと、攻撃者に認識される」から
- ランサムウェア攻撃による被害を最小限にするためには、「日頃からのバックアップ取得」「アクセス権限の最小化」「アンチウイルスとEDRの併用」などの対策を取るのが有効
近年のランサムウェア攻撃と身代金要求の傾向
ランサムウェア攻撃とは、システム内のデータを暗号化し、暗号化したデータを復号する対価として身代金を要求するサイバー攻撃です。
ランサムウェア攻撃によってデータ・ファイルが暗号化されたり、システムがロックされたりすると、業務の継続が困難になる危険性が高いです。
特に医療機関や金融機関が標的にされた場合、社会インフラに重大な影響を及ぼす可能性があり、その被害は単なる経済的損失にとどまりません。
他にも、感染時の調査やデータ・システムの復旧に多額の費用がかかることから、企業・組織にとって大きな脅威と言えます。
関連ページまた、近年のランサムウェアの攻撃手法は、より巧妙かつ悪質になっています。攻撃者が単にデータを暗号化するだけでなく、窃取した情報を公開すると脅す「二重恐喝」の手法が増加しています。
さらに、新たな手口として「ノーウェアランサム」と呼ばれる方法も出現しました。
出典:警察庁|令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について(令和5年9月21日)
この手法では、データの暗号化を行わずに情報を窃取し、データの公開をちらつかせて身代金を要求します。攻撃の効率性が高いため、この方法を採用する攻撃者が増加しているのです。
ランサムウェアの被害件数は高止まり傾向
中小企業の被害が増加
警察庁によれば、令和6年上半期のランサムウェアの被害報告件数は114件と引き続き高水準で推移しています。
出典:警察庁|令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について(令和6年9月19日)
この背景には、RaaS(Ransomware as a Service)の普及があります。
RaaSは、「ランサムウェア」の機能を、パッケージ化して提供するサービスモデルを指します。
RaaSによって、専門知識がなくても容易にランサムウェア攻撃を実行できてしまうのです。
さらに、サブスクリプション形式での提供により、参入障壁が低くなっていることも、攻撃の増加に拍車をかけています。
また、警察庁が発表している「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によれば、大企業よりも中小企業での被害が顕著となっています。
▼ランサムウェア被害を受けた企業・団体等の規模別報告件数
出典:警察庁|令和5年におけるサイバー空間をめぐる脅威の情勢等について(令和6年3月14日)
中小企業が狙われる理由の一つは、大企業と比べてセキュリティ対策に割ける予算やリソースが限られており、攻撃の成功率が高いからです。
情報セキュリティ10大脅威では5年連続1位に
独立行政法人情報処理推進機構(IPA)が毎年発表する「情報セキュリティ10大脅威」において、「ランサムウェアによる被害(2025年版は「ランサム攻撃による被害」)」は2021年から5年連続で組織編の1位にランクインしています。
ランサムウェア攻撃が注目される理由として、まずデータの暗号化や窃取による直接的な影響が挙げられます。業務が停止することで収益の減少や顧客への対応遅延が発生し、社会的信用の低下につながることもあるでしょう。
また、個人情報が窃取された場合には、顧客や取引先からの損害賠償請求や訴訟リスクが高まる可能性があります。
こうした背景から、多くの組織がランサムウェア対策に注力しています。しかし、攻撃の手口が巧妙化しているため、対策のさらなる強化が求められる状況です。
ランサムウェア攻撃の身代金要求は応じるべきではない。その理由とは?
企業・組織がランサムウェア被害に遭い、データ復旧と引き換えに身代金を要求された場合、支払いに応じるべきではありません。
理由は以下の通りです。
- 1. 必ずデータが復旧するとは限らないため
- 2. 身代金を支払うことで、法律に抵触する可能性があるため
- 3. 「身代金を支払う」企業だと攻撃者に認識されるため
1.必ずデータが復旧するとは限らないため
身代金を支払ったとしても、データの完全な復旧は保証されません。なぜなら、攻撃者は信頼できる取引相手ではなく、犯罪者だからです。
実際、身代金を支払っても、データが完全に復元されないケースや、一部のファイルの暗号化しか解除されないといった事例が報告されています。
さらに深刻なのは、新たな身代金を要求されるリスクです。たとえば、データの暗号解除後に「盗んだ情報を公開されたくなければ、さらに金銭を払え」といった追加の要求がなされる可能性も考えられます。
2.身代金を支払うことで、法律に抵触する可能性があるため
日本には、身代金の支払い自体を禁止する法律はありません。
しかし、身代金を払うことで、以下の法律に抵触する可能性があります。
- ・ 外国為替及び外国貿易法(外為法)
- ・ 会社法
- ・ 犯罪による収益の移転防止に関する法律(犯収法)
例えば、外国為替及び外国貿易法(外為法)の場合、攻撃者が経済制裁対象者リストに含まれていたら、身代金の支払いは法律違反となります。
問題は、攻撃者が正体不明なケースがほとんどで、知らないうちに制裁対象者に支払ってしまう危険性があることです。
また、犯罪による収益の移転防止に関する法律(犯収法)に基づき、暗号資産を通じた取引が「疑わしい取引」として報告される場合もあります。
攻撃者が恐喝罪に該当する可能性が高い以上、その収益は犯罪によるものとみなされるため、支払いに関与するだけでリスクが増すと言えるでしょう。
3.「身代金を支払う」企業だと、攻撃者に認識されるため
一度支払いを行ってしまうと、攻撃者は「脅せば身代金を支払う」と認識し、再び狙われるリスクが増大します。
また、他の犯罪者にも「この企業は金銭を支払う」という情報が広がる可能性があり、攻撃対象として繰り返し狙われる危険性もあるでしょう。
このように、一度支払ったことで、将来的にさらなる被害を招くリスクが高まることも、身代金要求に応じるべきではない理由の一つです。
ランサムウェア攻撃による身代金を支払う企業は減少、しかし総額は増加
Coveware by Veeam(旧Coveware社)による2023年第4四半期の調査では、ランサムウェア攻撃を受けた企業の中で実際に身代金を支払った割合は29%と、これまでで最も低い水準に達しました。
出典:COVEWARE|2023年第4四半期の身代金支払い率(2024/1/26)
その背景には以下2つの理由があります。
- 1. 企業のサイバーセキュリティ対応能力が著しく向上
- 2. 企業が攻撃者との交渉において、正しい判断ができるようになった
まず、企業はランサムウェア攻撃を受けた際に、攻撃者から提供される復号ツールに依存せず、自力でデータやシステムを復旧できるケースが増加しています。
また、「盗まれたデータを公開しない」「今後の攻撃から保護する」といった攻撃者からの約束が、実際には何の保証もないといった理解も進んでいます。こうした無形の約束に対して身代金を支払うことへの慎重な姿勢が、業界全体に広がっているのです。
加えて、ランサムウェア攻撃のリスクを認識した企業がセキュリティ対策やインシデント対応に投資を強化した結果、身代金を支払わなければならないほど深刻な被害を受けにくくなってきています。
一方で、2024年8月15日にブロックチェーン分析企業のチェイナリシスが公表したリポートでは、2024年上半期の身代金の支払い総額は約4億5980万ドルに達しています。
これは、過去最悪の身代金支払い総額である2023年の同時期約4億4910万ドルを上回る水準です。
身代金を支払う企業の割合が減少しているにもかかわらず、総額が増加している背景には、一度身代金を支払った企業が繰り返し標的にされる傾向があることが指摘されています。
前述の通り、一度でも支払いに応じた企業は「交渉可能」とみなされ、再攻撃のリスクが高まるのです。
そのため、支払う企業の数は減少しているものの、一企業あたりの支払額は増大する結果となっています。
ランサムウェア攻撃による身代金要求への対応をルール化することが重要
ガートナージャパン株式会社が2024年7月に公開した調査結果によれば、「身代金の支払いを行わない」という方針をルール化している企業の割合は、わずか22.9%だったことが明らかになりました。
出典:Gartner|国内のランサムウェア対策状況に関する調査結果を発表 ― 感染を想定した実効的な準備への着手が急務(2024年7月1日)
身代金を要求された際の具体的なルールが示されていない場合、現場で即時判断を迫られ、冷静さを欠いた結果、身代金を支払ってしまう可能性が高まります。
そのため、経営陣の意見も取り入れつつ、身代金を要求された際の対応マニュアルを事前に作成しておくことが望ましいといえます。
また、対応マニュアルの作成にとどまらず、従業員への定期的なトレーニングを通じて実効性を持たせることも求められます。
ランサムウェア攻撃による被害を最小限にするための対策
ランサムウェア攻撃による影響を軽減するためには、身代金を要求された際の対応のルール化に加え、以下のような対策を行うことが重要です。
- ・ 日頃からのバックアップ取得
- ・ アクセス権限の最小化
- ・ アンチウイルスとEDRの併用
- ・ インシデント対応計画の策定
日頃からのバックアップ取得
ランサムウェアによってデータが暗号化されても、バックアップがあれば迅速に復旧可能です。
バックアップの保管・管理は、以下の「3-2-1ルール」に従って行うことが推奨されています。
▼3-2-1ルール
- ・ 少なくとも同一データは「3つ」所持する
- ・ 少なくとも、異なる「2つ」の媒体(例:外付けHDDとクラウドストレージ)でデータを保管する
- ・ 「1つ」はオフラインのサイト(自社施設から物理的に離れた場所)で保管する
また、定期的に「バックアップから復元できるか」を確認しておくことも、忘れないようにしてください。
アクセス権限の最小化
ランサムウェアはネットワークに侵入すると、活動範囲を広げるために複数のシステムやアカウントを侵害していきます。
そのため、「アクセス権限の最小化」が重要です。
極端な例を挙げると、機密情報にアクセスできる権限を従業員全員が持っていたら、そのうちのだれか一人のアカウントを侵害すれば、重要な情報にアクセスできてしまいます。
つまり、機密情報が暗号化されたり、窃取されたりするリスクが増大します。
逆に幹部だけ、担当部署だけのようにアクセス権限を最低限にしておけば、権限のない従業員のアカウントが侵害されたとしても、すぐに機密情報にアクセスされることはありません。
アンチウイルスとEDRの併用
ランサムウェア攻撃に対抗するためには、アンチウイルスとEDRを併用し、エンドポイントセキュリティを強化することが必須と言えます。
・アンチウイルス…リアルタイムなマルウェア検出や検出したマルウェアの隔離・駆除などによって、マルウェアの侵入を水際でブロックするプログラム
・EDR…エンドポイントにおけるセキュリティイベントをリアルタイムで監視し、早期検出と対応を支援するセキュリティソリューション
アンチウイルスとEDRを併用すれば、アンチウイルスでランサムウェアの侵入をブロックし、アンチウイルスの検知を逃れたわずかなランサムウェアをEDRで対処することが可能です。
これにより、被害を最小限に抑えられます。
▼アンチウイルス/EDR役割範囲
インシデント対応計画の策定
セキュリティインシデント発生時の対応を明確にした計画を事前に作成しておくことも効果的です。
初動対応の手順や復旧方法、責任者の明確化により、攻撃による混乱を防ぎ、迅速な復旧が可能となります。
ランサムウェア対策は、企業にとって継続的な取り組みが求められる分野です。感染リスクをゼロにすることは困難ですが、適切な対策を講じることで被害を最小限に抑えられるでしょう。
また、ランサムウェア対策は下記の記事で詳しく解説していますので、ぜひあわせてご覧ください。
ランサムウェア対策なら「LANSCOPE サイバープロテクション」におまかせ
ランサムウェアを高い精度で検知するなら、弊社のAIアンチウイルス「LANSCOPE サイバープロテクション」をご検討ください。未知のマルウェア検知・ブロックに対応する、2種類のAIアンチウイルスを提供しています。
▼2種類のアンチウイルスソリューション
1. アンチウイルス ✕ EDR ✕ 監視サービスをセットで利用できる「CylanceMDR」
2. 各種ファイル・デバイスに対策できる次世代型アンチウイルス「Deep Instinct」
1. アンチウイルス✕EDR✕監視サービスをセットで利用可能な「CylanceMDR」
アンチウイルスとEDR(エンドポイント検知・対応)の併用で、エンドポイントを内外から保護。強固なセキュリティ体制を確立できます。
しかし、現実には「EDRによる監視が難しい」「リソース不足で対応できない」という課題を抱える企業も多く、アンチウイルスとEDRの併用がうまく進まないケースもあるでしょう。
- ・ アンチウイルスとEDRを両方使いたい
- ・ できるだけ安価に両機能を導入したい
- ・ 運用面の不安がある
こうしたニーズに応えるのが、エンドポイントセキュリティを支援する「Cylanceシリーズ」です。以下の3つのサービスを、お客様の予算や要望に応じて提供します。
- ・ 最新のアンチウイルス「CylancePROTECT」
- ・ EDR「CylanceOPTICS」
- ・ EDRを活用した監視サービス「CylanceMDR」
高精度なアンチウイルスとEDRの併用が可能となり、セキュリティの専門家が24時間365日体制で監視を行うことで、マルウェアから確実にエンドポイントを守ります。
アンチウイルスのみ、またはアンチウイルス+EDRのみの導入など、柔軟な対応も可能です。詳細は以下のページをご覧ください。
2. 各種ファイル・デバイスに対策できるNGAV「Deep Instinct」
- ・ 未知のマルウェアも検知したい
- ・ 実行ファイル以外のファイル形式(Excel、PDF、zipなど)にも対応できる製品が必要
- ・ 手頃な価格で高性能なアンチウイルスを導入したい
これらのニーズにはAIのディープラーニング技術を活用し、未知のマルウェアを高い精度でブロックする、次世代型アンチウイルス「Deep Instinct(ディープインスティンクト)」がおすすめです。
近年の攻撃者は、セキュリティ製品から検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを仕掛けてきます。 ファイル形式を問わず対処できる「Deep Instinct」であれば、マルウェアの形式を問わず検知します。
1台あたり月額300円(税抜)から利用できる、手ごろな価格設定も魅力です。詳細は以下よりご覧ください。
万が一、マルウェアに感染した場合は? インシデント対応パッケージにお任せください
「マルウェアに感染したかもしれない」
「サイトに不正ログインされた痕跡がある」
このようにサイバー攻撃を受けた後、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用がおすすめです。
フォレンジック調査の専門家がお客様の環境を調査し、感染状況や影響範囲を特定。マルウェアや脅威の封じ込めから復旧支援、さらに今後の対策に関するアドバイスまで提供します。
「自社で復旧作業が難しい」「攻撃の経路や影響範囲の特定を専門家に任せたい」という方は、ぜひご検討ください。
まとめ
本記事では、ランサムウェアによる身代金を払ってはいけない3つの理由を解説し、適切な対処法について解説しました。
本記事のまとめ
- 近年のランサムウェアの攻撃は、データを暗号化するだけでなく、窃取した情報を公開すると脅す「二重恐喝」、暗号化を行わず、盗んだデータの公開取りやめと引き換えに身代金を要求する「ノーウェアランサム」などの手法が増加している
- ランサムウェア攻撃の身代金要求は応じるべきではない理由は、「必ずデータが復旧するとは限らない」「身代金を支払うことで、法律に抵触する可能性がある」「身代金を支払う企業だと、攻撃者に認識される」から
- ランサムウェア攻撃による被害を最小限にするためには、「日頃からのバックアップ取得」「アクセス権限の最小化」「アンチウイルスとEDRの併用」などの対策を取るのが有効
ランサムウェア攻撃で身代金を要求された際に一度でも応じてしまうと、脅迫すれば金銭を支払う企業だと攻撃者に認識されてしまいます。そのため、身代金は支払わない方向で対応をルール化し、あらかじめ社内に共有しておくことが重要です。
おすすめ記事
