選択肢がほとんどないことに直面して、データを人質に取り、返還と引き換えに金銭を要求するサイバー犯罪者に屈する企業が増えており、一方で法執行機関は、ほとんど目に見えない犯罪者を捕まえるのに苦慮している。
組織に対するリスクは非常に深刻になっており、多くの組織は攻撃者に金銭を支払って攻撃者を追い払ってもらっていますが、これは犯罪者を勇気づけるだけかもしれない戦略です。
これは非対称電子戦の典型です。ランサムウェアは、被害者が身代金を払って解除するまでファイルを暗号化し続け、組織に壊滅的な被害をもたらす可能性があります。最新のバックアップがなければ、攻撃者に身代金を支払って復号鍵を入手する以外に、ほとんど何もできません。
あまり一般的ではないものの、同様に有害なのが恐喝です。攻撃者は重要なデータを盗んだと主張し、要求が満たされなければ公開すると脅迫します。期限は厳しく、ハッカーは企業に48時間以内に要求に応じるよう求める場合があり、盗まれたデータがあるかどうかの確認競争が始まります。
ランサムウェアと恐喝の被害額は計算が難しい。昨年6月、FBIはCryptoWallランサムウェアファミリーだけで、米国組織が前年比で1,800万ドルの被害を受けたと推定した。10月には、業界団体がCryptoWall(2014年半ばに初めて検出された)の被害総額をはるかに上回る、驚異的な3億2,500万ドルと推定した。
恐喝のコストは、企業が被害を認めたがらないことが多いため、見積もるのがさらに困難です。コンピューターセキュリティ企業のFireEyeによると、機密データの漏洩を防ぐために100万ドル以上を支払った企業もあるとのことですが、ほとんどの事件はそれよりも低い金額で解決されています。
元連邦サイバー犯罪検察官で、コンピューター科学捜査を行うストロス・フリードバーグ社の事件対応部門責任者であるエリン・ニーリー・コックス氏は、事件の量が法執行機関を圧倒していると述べた。
FBIとシークレットサービスは「多くの場合、実質的には身代金の支払いに同意している」とニーリー・コックス氏は述べたが、これは彼らの公式見解ではないことを強調した。
攻撃を実行するグループを見つけるのは困難です。彼らは痕跡を隠蔽することに長けており、暗号通貨ビットコインでの支払いを要求するため、支払いを追跡するのは困難です。また、ハッカーたちはサイバーセキュリティに関して米国と緊密に協力していない国に拠点を置いていることが多いため、逮捕の可能性は低いでしょう。
暗号化されたファイルのロックを解除することは、ほぼ不可能です。
「被害者のデータを解読するのは大きな課題だ」と、サイバー脅威に関する情報を収集するインフォアーマーの最高情報責任者、アンドリュー・コマロフ氏は語った。
InfoArmorは、ランサムウェアの制御に利用されるコンピュータネットワークに侵入することで、ランサムウェアの阻止に一定の成功を収めてきました。コマロフ氏によると、ある事例では、CryptoLockerと呼ばれるランサムウェアの拡散に利用されるコマンドアンドコントロールネットワークに脆弱性が発見されました。
スクリーンショット 数あるランサムウェア プログラムの 1 つである CryptoLocker によって表示される警告。
InfoArmor の報告によると、この脆弱性を悪用して研究者らは、何千人もの被害者が身代金を支払ったように見せかけるコマンドを送信し、被害者のコンピューターを復号化することができたという。
しかし、ハッピーエンドは稀だ。最もよく記録されているランサムウェア事件は医療業界を襲った。ロサンゼルスのハリウッド・プレスビテリアン・メディカルセンターは、ファイルの復号に40ビットコイン(約1万7000ドル)を支払った。
ハリウッド長老派教会の社長兼CEOであるアレン・ステファネック氏は、この支払いは「通常の業務を回復するための最善の利益」だと述べた。
4週間後、ケンタッキー州ヘンダーソンのメソジスト病院は、コンピューターセキュリティライターのブライアン・クレブス氏によると、Lockyと呼ばれるランサムウェアがシステムに感染したと発表した。地元ニュースによると、病院は身代金を支払わなかったものの、システムを復旧できたという。
ランサムウェアや恐喝スキームは、他のサイバー犯罪手法に比べて利点があります。データを盗み、地下フォーラムで行われるリスクの高い取引で買い手を探すのではなく、脆弱な被害者に直接金銭を要求します。
「多くの地域で、敵対勢力がデータを武器として考え始めているのが分かります」と、クラウドストライクのCEO、ドミトリ・アルペロビッチ氏は述べた。「北朝鮮はまさにソニーに対してそうしました。」
ソニー・ピクチャーズは、ギガバイト単位の機密内部データを公開し、コンピュータを破壊した攻撃を受け、北朝鮮の金正恩委員長を侮辱すると思われる映画の公開を控えるよう要請された。米国政府は直ちに、この攻撃は北朝鮮によるものだと断定した。
身代金を支払うというのは、非常に心苦しい提案であり、反対する人がいないわけではない。
先月、セキュリティブログを運営するローマン・ハッシー氏が、ランサムウェアトラッカーを立ち上げました。これは、ランサムウェア攻撃に関係する世界中のサーバーをカタログ化するツールです。ハッシー氏は、多くの人が被害に遭うのを見て、このトラッカーを立ち上げました。
「黄金律は、頻繁にバックアップを実行し、決して身代金を支払わないことです」とハッシー氏は書いている。「身代金を支払うことは、犯罪者のサイバー犯罪活動と、さらなる詐欺を働くためのインフラに資金を提供し、攻撃者が攻撃を続ける動機付けにもなります。」
ハッシー氏の抵抗戦略は最終的には成功するかもしれないが、そのためには多くの組織が自滅する必要があるだろう。
ファイア・アイの最高執行責任者でマンディアントの創業者でもあるケビン・マンディア氏は、支払わなかった場合、例えば会社の法務顧問の電子メールが漏洩した場合など、大きなリスクと恥ずかしい思いをすることになるかもしれないと述べた。
「あなたならどうしますか?」とマンディア氏は最近のインタビューで語った。「他に選択肢はないでしょう。」
ランサムウェアや恐喝の試みの増加は、米国における決済カードのセキュリティ強化の結果である可能性が高い。盗まれたカード情報から金銭を得ることはますます困難になっており、攻撃者はより簡単な方法で現金を生み出す方法を見つけた。
FireEyeは、国家支援のサイバースパイ活動に使われていたのと同じハッキングツールやインフラの一部が、今では恐喝にも使われているのを確認しており、経験豊富なハッカーたちは安泰な儲けを期待しているようだ。
「ロシアの組織犯罪と中国のグループはついに、自分たちにはまだハッキング技術があり、簡単には金に換えられないカードデータを入手しているので、ただ脅迫すればいいのだ、と気づいた」とマンディア氏は語った。
3月22日、司法省は、バッシャール・アル・アサド大統領を支援するため数年にわたりハッキング作戦を展開した集団、シリア電子軍のメンバー3人に対する告訴を公開した。
容疑者のうち2人は、米国および海外の被害者14人のシステムにハッキングを行い、損害を与えたり盗んだデータを売却すると脅迫した後、恐喝した罪にも問われている。被害者には、中国のオンラインゲーム会社、英国のウェブホスティングプロバイダー、オンラインメディア会社などが含まれている。
告訴状によると、男らは交渉後に要求額を頻繁に引き下げていたものの、合計で50万ドル以上を要求したとされている。
「これは人質交渉のようなものだ」とクラウドストライクのアルペロビッチ氏は述べた。「犯罪者と対話を始め、相手を足止めして時間を稼げるかどうか試すことができる」
しかし「泥棒相手には絶対確実なものはない」と彼は言う。
