専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

著者　Bizコンパス編集部

　ファイルを暗号化して身代金を要求する「ランサムウェア」は新しい種類のマルウェアとして昨今よく耳にする言葉です。しかし、実は今から30年以上も前の1989年には、ランサムウェアの元祖と言えるマルウェアが登場しています。名前は「AIDS Trojan」。感染した後に90回パソコンを起動すると189ドルの小切手を送付するように要求するメッセージを表示し、パソコンを利用不可能にするというものでした。

　その後ランサムウェアは進化を重ね、2013年に初めて身代金をビットコインで要求した「CryptoLocker」が登場、そして2017年には世界各地で深刻な被害をもたらした「WannaCry」が流行します。これらのマルウェアの存在により、ランサムウェアを開発すれば“稼げる”という認識が広まり、最近では「Ransomware as a Service」と呼ばれるランサムウェアを作成するためのサービスまで登場しています。

　このようなランサムウェアの蔓延や、従来のセキュリティ対策では検知できない攻撃の増加など、サイバーセキュリティをめぐる状況は厳しさを増し続けています。

　当然、日本企業においてもセキュリティ対策の強化は進められていますが、東京電機大学国際化サイバーセキュリティ学特別コース教員の伊藤潤氏は構造的な問題を指摘します。サイバーセキュリティに日本企業はどう取り組んでいくべきなのか。伊藤氏が登壇したセキュリティセミナーからひも解きます。

ランサムウェア感染による身代金。払う？払わない？

　ランサムウェアにかかわる代表的な議論として、「身代金を支払うべきか否か」というものがあります。身代金を支払っても人質に取られたデータが元に戻る保証はない上、犯人を利することにもなることから払うべきではないという考え方がある一方、事業の停止などによって企業が負う多額の損失を考えると、身代金を支払う判断をするのも致し方ないという考え方もあります。

　ランサムウェアを巡るこの議論において、従来は身代金を支払うべきではないとする意見が主流でした。しかし、東京電機大学国際化サイバーセキュリティ学特別コース教員の伊藤潤氏は、最近は風向きが変わりつつあると話します。

　「今までFBIは身代金を支払うべきではないという立場でした。しかし、最近になって『企業が苦悩に直面した際、経営陣が株主や従業員、顧客を保護するためのすべてのオプションを評価することを理解しています』と、あいまいな言い回しながらも支払うこともやむなしとするメッセージを発信しています」

　伊藤氏によるとFBIがこうしたメッセージが発信した背景の1つとして、米国におけるサイバー保険の広まりが挙げられるといいます。ランサムウェアに感染したとき、加入しているサイバー保険で身代金が支払われるのであれば、保険を使って身代金を払い、データを取り戻す判断をするのは選択肢の一つになります。しかし米国と違い、日本のサイバー保険では、ランサムウェアの身代金はカバーされていないといいます。

　「日本では物理的な身代金目的の誘拐を助長する可能性があるという理由で、身代金を支払うための保険が1978年に規制されました。ランサムウェアの身代金も同じ扱いになっているため、日本のサイバー保険では身代金の支払いはカバーされていません。日本以外の国ではドイツにも同様の規制がありましたが、2017年の法改正でランサムウェアに関する身代金には保険が適用できるようになりました。その点では、日本は遅れていると言えるでしょう」（伊藤氏）

サイバー攻撃に対応するために、開発と運用の溝は埋めるべき