ランサムウェアに関するブルース シュナイアーさんのブログ
こんにちは、丸山満彦です。
ランサムウェアに重要なデータやシステムを暗号化された時に、「身代金」を払うべきかどうかという問題は時に難しく、正直私も万能な答えを持っているわけではありません。それは、状況次第という面が否定できないからですかね。。。
情報セキュリティで有名なブルース シュナイアー(Bruce Schneier)さんも同じのようで、やはりこれは難しい問題だと思います。
ただ、彼は一定の整理をしていますね。。。
アメリカの法制度の元ですが、
ランサムウェアの支払いは、リスクが高く、攻撃者にさらなる攻撃の資金を提供すると言う面があるものの、法律(テロ対策法、FCPA等)に違反しているとしても起訴される可能性は低いので、支払うか無視するかの決定は、合法か違法かではなく、費用便益分析のような実際的な決定のように思われる
とした上で、
支払いを容認する考え方(常に当てはまるわけではないのでしょうが)として、
- 支払いは最も費用のかからない選択である
- 支払いは利害関係者の最善の利益になる(例えば、即時の手術を切実に必要としている入院患者)
- 支払いにより、重要なデータを失ったことによる罰金を回避できる
- 支払いは、機密性の高い情報を失わないことを意味する
- 支払いは、データ侵害で公開されないことを意味する場合がる
支払いに否定的な考え方として、
- 支払いは、復号のためのキーが提供されることを保証するものではない
- 支払いは、攻撃者に資金を提供し、さらなる攻撃を可能としてランサムウェア犯罪サイクルを維持する
- 支払いは、企業ブランドの毀損に繋がる可能性がある
- 支払いによって、攻撃者による次なる攻撃を防げない
- 被害者がランサムウェアの支払わなかったら、攻撃者は別の手法を使わざるを得なくなる
- ビットコインによる支払いは、組織を別の危険に晒す可能性がある。ほとんどの被害者は、ハッキングされる可能性のある取引所でビットコインを購入する必要があり、これらの取引所に保存されている購入者の銀行口座情報は脆弱なままだからである
なるほどです。。。
・2020.09.30 Negotiating with Ransomware Gangs
« 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています | Main | 米国財務省は金融機関等にランサムウェアの支払いを勧めた場合の制裁リスクを強調する勧告を出していますね。。。 »
Comments