ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その8
みなさん、こんにちは!
株式会社カチカのリモート&コールドバックアップ業務担当の村島です!
さて、昨日も予告したとおりこのシリーズの続きをやっていきましょう。
「ストップ!ランサムウェア特設ページ」
より引用
このページの赤丸を付しました部分から見られる資料ですね。
例によって1ページ目だけ画像で引用しますが。
より引用
(以降、特記なき場合同資料からの引用とします)
これですね。
では今日も、今回もレッツスタディセキュリティ!なのです。
今回のテーマは「身代金支払いの代替案」からです
というわけで、見出しが「身代金支払いの代替案を検討する」からなんです。そうなんです。焦って何とかしようと思ってしまいがちなんですけども、いったん立ち止まって他に取り得る手段がないか検討する。何度も申し上げるようですが、これが「カネ払え」系の犯罪者が一番嫌がることなんです。では早速見ていきましょう。
8.一般的な対応として、2023 年の第3回 CRI サミットで発出された共同声明5に従い、組織は金銭支払を避けることを強く勧める。
繰り返すようですが、これが「カネ払え」系の犯罪に対する鉄則であり、この資料の「序文/ステートメント」に記されているとおり
「2023 年に開催された第3回 CRI サミットでは、CRIはランサムウェアの要求に対し金銭支払を避けることを強く勧める共同声明を発出した。
ということの内容なんですね。
考えてみれば当たり前のことではあるんですが、カネ払え系の犯罪に対しては金を払わないことが被害の防止なんです。
ちょっと傾向は違いますが、架空請求詐欺ってあるじゃないですか。だいたいのパターンとして、メッセージなどで「ご連絡ください」とかなんとか言ってきて、電話をかけさせるっていう方法を使いますよね。「あなたが当選しました」とか「代金が支払われていません」とかなんとか、おそらくメッセージを絨毯爆撃で送ってきて、その中の1本でも当たれば儲けものっていう感覚でやっていることなんだと思いますが、そういうメッセージに書いてある電話番号に電話をかけてみるということをなさっている久保田康介さんという方がいらっしゃいます。
この方は弁護士さんなので冷静に話すのが職業みたいなものですが、相手の言っていることをきちんと聞いて自分でちゃんと咀嚼して、おかしいと思うところを突っ込んでいくと相手は大概自滅します。とにかく慌てないことです。
仕方なく支払ってしまう場合
9.CRI の声明では、組織は金銭支払を避けることを強く勧めるが、現地の法規制に従い、被害組織が最終的に身代金の支払いを検討する場合もある。
あくまでもCRIの見解としては支払わない方がいいよということではあるんですが、当該の国の法律には優先しないということですね。
残念ながらCRI(今さらですが、カウンターランサムウェア・イニシアティブの略です)はいくらかの国等が集まって出した「こうしたらいいですよ」というガイドラインに過ぎませんのでね。
関係国(ネットの話ですので、複数の国にわたることもあり得ますよね)の法律の方が優先しますよ、ということになります。そしてその国の法律で「払いましょう」というそれを止める権限はないということですね。
でも、払いましょうと定めている国なんてあるのかな?
「被害組織が最終的に身代金の支払いを検討する場合もある」なんていう弱々しい主張の仕方を見る限り、この文書を作った方々自身「法律的に身代金を払いましょうっていう国なんてないよな」という意識を強く持っていて、しかしもしあったら大変だから一応書いておこうかという迷いが見えるように思うのですが。
世の中には、機能不全国家と呼ばれる、政府が国民に対して基本的なサービスを提供できず法の支配が失われ社会秩序が維持できない国、その機能不全国家にいつなってもおかしくない脆弱国家と呼ばれる国なんかがありますが、そういう国になると政府(と名乗っている人たち)も国民も基本的思想がヒャッハーですから取ったもん勝ちみたいなことになっているのかも知れませんね。
安全な国に住めている私たちは本当にありがたいと思わなくてはいけないものだと思います。
支払いに関する決定について
10.支払いに関する決定は、可能な限り、インシデントの影響と支払いによりその結果が変わるかどうかを総合的に判断した上で通知される必要がある。身代金の支払いにはマイナス面があるにもかかわらず、サイバー犯罪者は支払うことが唯一の復旧方法であると被害組織を説得しようとする。
8で勧められたとおり払わない方向で考えるにしても、9に書かれているとおり払う方向で考えざるを得ないことになっても、ランサムウェア・インシデントの及ぼす、主に好ましからざる影響と、支払いをすることによってその好ましからざる影響がいくらかでもいい方向に変わるかどうか比較衡量してくださいっていうことです。まあ当たり前の話ですよね。
ランサムっていうのが身代金であることはもう皆様周知の事実だと思いますが、元々は「誘拐・略取」で確保した人を拘束しておいて、関係者に「介抱して欲しければカネ払え」って要求するのが「ランサム」じゃないですか。
日本犯罪史に残る吉展ちゃん誘拐事件にしても、捜査中警察官はなるべく犯人との交渉を長引かせようとしてましたよね。それなんですよ。時間を味方につけて、その間にできることを次々やっていく。ランサム事件における基本中の基本です。この事件って2年もの歳月がかかっているんですよね。平塚八兵衛刑事なんかが執念深く追いかけた話ですよね。警察も捜査打ち切りの方向で上からの圧力があったらしいんですが、刑事さんが家と電話を抵当に入れてお金を借りて捜査費用を捻出したとか、犯人の声と電話の声の録音をFBIに送ることにして確保した容疑者を介抱する2時間ほど前に平塚八兵衛刑事が容疑者が言ってることに致命的な矛盾があることに気がつき、容疑者を詰めたところ自白した…という、本当にドラマティックな事件でした。
閑話休題
まあとりあえず前段の内容はそういうことです。
一方後段の内容はと言いますと、サイバー犯罪者は身代金を支払うことが唯一の、あるいは一番確実にして簡単な方法であるとあんな手こんな手を使って圧力をかけて来ますよということを述べています。
加害者と被害者の関係だけ見て考えますと、ある意味間違ってはいないんですよね。一番確実にして簡単な方法であるというのは。
でも、犯人に多額のお金を与えるというのは結局のところ犯罪組織を肥え太らせるだけで社会全体を見ると悪影響の方が多いですし、払っちゃった組織は払っちゃったことが明るみに出ると「脅せばカネを払う組織」という社会的評価がついて回ることにもなります。
そしてそもそもデータ復旧の保証もありませんし、次から次へといろんなサイバー犯罪の標的にされないとも限りません。身代金の支払いがテロ組織への資金提供という評価になってしまうことも考えられますし、復旧費用もそれなりにかかるでしょうし、身代金を支払って簡単に終わらせてしまおうというのは、支払っても案外簡単には終わらないってことはままあるんですね。そこらへんを十分考えて、身代金を払うか払わないかを決めましょうっていうことですね。
ランサムウェア不払声明
ところで、今回取り上げました文章の8番目には「ランサムウェア不払声明」というものにリンクが張られています。一応、日本語訳してここに転載しておこうと思います。
政策文書
ランサムウェアの支払いに関するCRI共同声明
2023年11月2日発行
ランサムウェア対策イニシアチブ[脚注1]のメンバーは、ランサムウェアとこれらの壊滅的な攻撃を実行する者を公に非難するために団結しています。
私たちは、ランサムウェアのビジネスモデルを弱体化させ、犯罪行為を阻止するために、ランサムウェアの支払いに対するアプローチに共同で取り組むことを約束します。私たちは、一見何の罰も受けずに行動するサイバー犯罪者の恐喝行為を容認しません。
したがって、私たちは、ランサムウェアの要求に応じないことを強く勧めます。私たち一人ひとりが模範を示すつもりです。私たちは、国家政府管轄下の関連機関がランサムウェアの恐喝要求に応じるべきではないという合意に達しました。[脚注 2]
ランサムウェア攻撃者に身代金を支払う:
・インシデントの終息やシステムからの悪意のあるソフトウェアの削除を保証するものではありません。
・犯罪者が活動を継続し拡大する動機を与える
・犯罪者が違法行為に使用できる資金を提供する
・データが戻ってくることを保証するものではありません
我々は、インターポールを含む法執行機関を組み入れ、耐性を高め、これらの犯罪者が利用できる資金を制限しながら、ランサムウェアが各国に及ぼす脅威に包括的に対処し続けます。
[脚注1]アルバニア、オーストラリア、オーストリア、ベルギー、ブラジル、ブルガリア、カナダ、コロンビア、コスタリカ、クロアチア、チェコ共和国、ドミニカ共和国、エジプト、エストニア、フランス、ドイツ、ギリシャ、インド、インターポール、アイルランド、イスラエル、イタリア、日本、ヨルダン、ケニア、リトアニア、メキシコ、オランダ、ニュージーランド、ナイジェリア、ノルウェー、ポーランド、ポルトガル、大韓民国、ルーマニア、ルワンダ、シエラレオネ、シンガポール、スロバキア、南アフリカ、スペイン、スウェーデン、スイス、ウクライナ、アラブ首長国連邦、英国、米国
[脚注2]国内法規に準拠します
というようなところです。
ちょっと短めですが今日はここまでです
というのが「身代金支払いの代替案を検討する」の内容なんですが、次はまた別のテーマになりますのでここまでということにさせてください。
まあ要するに犯人の言うとおりにはならないでくださいってことです。もう当然のことですよね。
小括
現在、バックアップの話題になると、どうしても中心になるのがランサムウェアになってきます。
従ってランサムウェアの話がやっぱり割合的には多くなってきます。できる限りランサムウェア以外の話も取り上げていきたいとは思っているので、気長にお付合いいただければ幸いです。
よろしくお願いいたします。
目次
クラウドストレージが持つ特有のリスク
クラウドストレージが持つ特有の脆弱性
クラウドストレージと遠隔地バックアップの相互補完性
クラウドストレージのデータ消失に関する責任の所在
ディザスタリカバリ手順をあらかじめ決めておくべき理由
弊社でお取り扱いしておりますデータ・OSにつきまして
クラウドストレージのメリット・デメリット
Windowsからの乗り換え先になるか? Linux MintとChrome OS Flex
バックアップの方法 オフライン・オンラインバックアップとは?
IPAの言うセキュリティ対策の基本を見ていきましょう! その1
IPAの言うセキュリティ対策の基本を見ていきましょう! その2
IPAの言うセキュリティ対策の基本を見ていきましょう! その3
IPAの言うセキュリティ対策の基本を見ていきましょう! その4
IPAの言うセキュリティ対策の基本を見ていきましょう! その5
IPAの言うセキュリティ対策の基本を見ていきましょう! その6
IPAの言うセキュリティ対策の基本を見ていきましょう! その7
IPAの言うセキュリティ対策の基本を見ていきましょう! その8
IPAの言うセキュリティ対策の基本を見ていきましょう! その9
IPAの言うセキュリティ対策の基本を見ていきましょう! ラスト
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その2
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その3
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その4
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その1
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その2
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その3
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その4
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その5
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その6
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その7