ランサムウェア攻撃からの復旧におけるリスク

AndryDj – shutterstock.com

ランサムウェアの復号のためにサイバー犯罪者に支払いを行った企業のうち、5社中2社がデータを復旧できませんでした。これは保険会社Hiscoxが世界の中堅企業1,000社を対象に実施した調査によるものです。

調査結果は、ランサムウェアが依然として大きな脅威であることを示しています。回答した組織の27％が、昨年攻撃を受けたと答えました。被害を受けた企業のうち、80％が身代金を支払っており、その中には保険加入企業も未加入企業も含まれます。

しかし、Hiscoxレポートによると、完全または部分的にデータを復旧できたのはそのうちの60％だけでした。

他の調査では、さらに低い数値が示されています。CrowdStrikeが最近発表した「2025 State of Ransomware Survey」では、被害者の93％が身代金を支払ったにもかかわらずデータを盗まれたとされています。

関連記事: 企業が支払う身代金の金額

不完全なランサムウェア暗号化が復旧を困難にする

専門家によれば、企業はランサムウェア攻撃後の復旧で数多くの困難に直面しています。

「60％という復旧率は、インシデント対応時に定期的に発生する複数の技術的・運用上の現実を反映しています」と、サイバーセキュリティ企業Bridewellのインシデントレスポンスマネージャー、ジェームズ・ジョン氏はCSOに語ります。「まず、ランサムウェアの運営者には大きなレベル差があります。LockBitやALPHVのような確立されたグループは、評判維持のため通常は動作する復号プログラムを提供します。対照的に、小規模な運営者はしばしば不完全な暗号化を使ったり、支払い後に姿を消したりします。」

復号プログラムはしばしば遅く信頼性に欠けることが多いとジョン氏は付け加えます。こうしたツールはバグを含んでいたり、ファイルを破損させたりアクセス不能にしたりすることがあります。「企業環境での大規模な復号は数週間かかることもあり、破損したファイルや複雑なデータベースシステムでは失敗することがよくあります」とセキュリティ専門家は述べます。「復号プロセス自体が追加でデータを破損させる場合もあります。」

英国のマネージドセキュリティプロバイダーAvella Securityのパートナー、ダリル・フラック氏も同様の見解です。「犯罪者はしばしば不完全または非互換な暗号化ツールを使用します。多くの企業は、特にバックアップが不完全だったりシステムがまだ侵害されている場合、データを完全に復旧するインフラが不足しています。」

さらに、多くの企業が未検証で脆弱なバックアップに頼っているとジョン氏は補足します。彼の経験では、多くのランサムウェア被害者が、攻撃の一環としてバックアップも暗号化されていたことに気づきます。

支払いへのさらなる圧力

現代のランサムウェア攻撃は、身代金を支払っても盗まれたデータを公開したり、DDoS攻撃を仕掛けたりすると脅す「二重・三重の脅迫」が常態化しています。

これにより、被害者が身代金支払いを選択した場合に期待できることの計算が根本的に変わります。多くの場合、ランサムウェア攻撃で生じた問題の多くは解決されません。

「支払いは暗号化の問題しか解決せず、より広範なリスクは残ります」とBridewellのジョン氏は強調します。

さらに、ランサムウェア事件は企業に法的・運用上・評判上の問題を短時間で同時にもたらし、非常に大きなプレッシャーを与えます。

こうした要因と犯罪者とのやり取りに伴う根本的な不確実性が、身代金の支払いがしばしばデータの完全な復旧につながらない理由です。

財務的な耐性と法的な問題

「たとえ復号コードを受け取っても、一部のデータはすでに永久に破損・改ざん・盗難されている可能性があります」とHarper Jamesのプライバシー・データ保護チームの上級弁護士リリアン・ツァン氏は警告します。

「これは運用上の課題を生むだけでなく、特に個人データが関与する場合にはデータ保護上の懸念も引き起こします」とツァン氏は説明します。「データセットが失われたり侵害されたりすると、GDPRに基づき個人データ保護違反となり、報告義務や当局による調査が発生する可能性があります。」

さらに、身代金の支払いは、犯罪者が約束を守らなかった場合に企業に法的手段を与えるものではなく、むしろ逆効果となる場合もあります。「支払いが制裁対象グループに知らずに送金された場合、さらなるリスクとなります」とツァン氏は警告します。

また、ランサムウェア攻撃によるシステム障害が発生すると、特に個人データが侵害された場合には、監督当局や被害者への通知義務などの法的義務が即座に発生します。

備えあれば憂いなし

一部の専門家は、緊急時対応計画の一環としてインシデントレスポンス企業と契約を結ぶことを勧めています。

「仮想通貨取引に対応できる著名なインシデントレスポンスや交渉専門企業と契約することは非常に重要です」と、脅威インテリジェンスを専門とするサイバーセキュリティ企業BlackwiredのCEO、ジェレミー・サミデ氏は述べます。「こうした企業は交渉を担当し、さまざまな仮想通貨にアクセスでき、支払いが唯一の復旧手段となった場合に安全に送金できます。」

サミデ氏はさらに「準備とは降伏を意味するのではなく、あらゆるシナリオに備えることを意味します」と付け加えます。

Harper Jamesのツァン氏は、ランサムウェア攻撃時に犯罪者への支払いのための資金を確保しておくことに警鐘を鳴らします。「身代金支払いのための資金準備はますます問題視されています」と専門家は述べます。「支払い自体は違法ではありませんが、制裁違反となる可能性やさらなる犯罪行為を助長するリスクがあり、また良い結果が保証されるものでもありません。」

ツァン氏によれば、強固なセキュリティ対策、実証済みの復旧計画、明確な報告手順、サイバー保険への投資を通じてレジリエンスを高めることが、より安全な法的・戦略的立場をもたらします。

「サイバー保険はランサムウェア攻撃時に極めて重要です。金銭的な保護だけでなく、被害やダウンタイムを大幅に削減できる専門的な支援を企業に提供します」とツァン氏はまとめます。

サイバー保険は、以下をカバーする条項を含む積極的な危機管理を提供することが多いです。

• インシデントへの即時対応およびフォレンジック調査
• 感染システムの封じ込めと復旧
• 攻撃者との交渉および法的調整
• データ復旧および事業継続支援

「保険は攻撃自体を防ぐものではありませんが、影響を軽減し、混乱を整理し、企業がランサムウェア危機を単独で対処しなくて済むようにします」とBlackwiredのサミデ氏は述べます。

しかし他の専門家は、サイバー保険には依然として課題があると警告します。

「保険料は上昇しており、保険会社は今や多要素認証、パッチ管理、検証済みバックアップなど、より厳格な基本的サイバーセキュリティ対策を求めるようになっています」とAvella Securityのフラック氏は説明します。「この変化は、企業がリスク管理の一環としてより良いセキュリティ実践を導入することを促しています。」

関連記事: CISOがサイバー保険に備える方法

サイバーリカバリー

専門家によれば、ランサムウェア攻撃後のサイバーリカバリーは災害復旧と同様に扱う必要があります。

「企業がランサムウェアの被害を受けた場合、最初にして最も緊急の課題の一つは、攻撃の全容を評価することです。どのデータが侵害されたか、どのシステムが影響を受けたか、既存のバックアップが信頼できるかを特定することです」とIndex EnginesのCMO、ジム・マッガン氏は説明します。「バックアップが利用可能であっても、その整合性を確認することは大きな障壁となります。なぜなら、バックアップには復旧時に再び脅威となる破損または改ざんされたファイルが含まれている可能性があるからです。」

「社内の復旧計画には、単なる復旧だけでなく、フォレンジックなデータ検証も含めるべきです」とマッガン氏は助言します。(jm)