Bizコンパス

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」
2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

著者 Bizコンパス編集部

 ファイルを暗号化して身代金を要求する「ランサムウェア」は新しい種類のマルウェアとして昨今よく耳にする言葉です。しかし、実は今から30年以上も前の1989年には、ランサムウェアの元祖と言えるマルウェアが登場しています。名前は「AIDS Trojan」。感染した後に90回パソコンを起動すると189ドルの小切手を送付するように要求するメッセージを表示し、パソコンを利用不可能にするというものでした。

 その後ランサムウェアは進化を重ね、2013年に初めて身代金をビットコインで要求した「CryptoLocker」が登場、そして2017年には世界各地で深刻な被害をもたらした「WannaCry」が流行します。これらのマルウェアの存在により、ランサムウェアを開発すれば“稼げる”という認識が広まり、最近では「Ransomware as a Service」と呼ばれるランサムウェアを作成するためのサービスまで登場しています。

 このようなランサムウェアの蔓延や、従来のセキュリティ対策では検知できない攻撃の増加など、サイバーセキュリティをめぐる状況は厳しさを増し続けています。

 当然、日本企業においてもセキュリティ対策の強化は進められていますが、東京電機大学国際化サイバーセキュリティ学特別コース教員の伊藤潤氏は構造的な問題を指摘します。サイバーセキュリティに日本企業はどう取り組んでいくべきなのか。伊藤氏が登壇したセキュリティセミナーからひも解きます。

ランサムウェア感染による身代金。払う?払わない?

 ランサムウェアにかかわる代表的な議論として、「身代金を支払うべきか否か」というものがあります。身代金を支払っても人質に取られたデータが元に戻る保証はない上、犯人を利することにもなることから払うべきではないという考え方がある一方、事業の停止などによって企業が負う多額の損失を考えると、身代金を支払う判断をするのも致し方ないという考え方もあります。

 ランサムウェアを巡るこの議論において、従来は身代金を支払うべきではないとする意見が主流でした。しかし、東京電機大学国際化サイバーセキュリティ学特別コース教員の伊藤潤氏は、最近は風向きが変わりつつあると話します。

 「今までFBIは身代金を支払うべきではないという立場でした。しかし、最近になって『企業が苦悩に直面した際、経営陣が株主や従業員、顧客を保護するためのすべてのオプションを評価することを理解しています』と、あいまいな言い回しながらも支払うこともやむなしとするメッセージを発信しています」

 伊藤氏によるとFBIがこうしたメッセージが発信した背景の1つとして、米国におけるサイバー保険の広まりが挙げられるといいます。ランサムウェアに感染したとき、加入しているサイバー保険で身代金が支払われるのであれば、保険を使って身代金を払い、データを取り戻す判断をするのは選択肢の一つになります。しかし米国と違い、日本のサイバー保険では、ランサムウェアの身代金はカバーされていないといいます。

 「日本では物理的な身代金目的の誘拐を助長する可能性があるという理由で、身代金を支払うための保険が1978年に規制されました。ランサムウェアの身代金も同じ扱いになっているため、日本のサイバー保険では身代金の支払いはカバーされていません。日本以外の国ではドイツにも同様の規制がありましたが、2017年の法改正でランサムウェアに関する身代金には保険が適用できるようになりました。その点では、日本は遅れていると言えるでしょう」(伊藤氏)

SHARE

関連記事

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

2020.03.19

セキュリティ対策に求められる新たな視点第15回

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

“届いてから最短10分”でテレワークを始める方法がある

2020.03.04

テレワーク導入の“壁”を解決

“届いてから最短10分”でテレワークを始める方法がある

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

マルチクラウドの活用に必要なクラウドマネジメントとは?

2020.01.31

DXを加速させるITシステムの運用改革第19回

マルチクラウドの活用に必要なクラウドマネジメントとは?

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

ランサムウェア?破壊型マルウェア?LockerGogaの罠

2019.12.25

セキュリティ最前線第5回

ランサムウェア?破壊型マルウェア?LockerGogaの罠

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる