ランサムウェア交渉は、サイバーセキュリティ業界における暗いが広く認識された現実であり、多くの人が必要な慣行だと主張する一方で、その大半は人目につかないところで行われている。組織のデータや業務を人質に取るサイバー犯罪者と支払いと条件を取りまとめることは、セキュリティ専門家を厳しい立場に置く。すなわち、金銭目的の犯罪の拡大を助長せずに、顧客のニーズに応える責任とのバランスを取らなければならない。
ランサムウェア交渉の落とし穴は過剰なほど多い。サイバー犯罪の目的が、被害者や、通常は良い選択肢がないインシデント対応企業とぶつかり合うからだ。交渉担当者は、制裁対象の犯罪者を金銭的に支援して法に触れないようにする責任を負う一方で、自らの道徳的な羅針盤を裏切らずに越えない一線も考慮しなければならない。
こうした裏ルートの交渉は、さまざまな理由でうまくいかなくなることがある。ランサムウェア交渉に関わる多くの人は、そこで何が起きたのかをほとんど共有したがらないが、その判断により、身代金支払いの条件は大部分が精査されないままになっている。
それでも、多くのセキュリティ企業や専門家が、彼ら自身の仲間2人が裏切り者となった後、ランサムウェア交渉の課題と利点についてCyberScoopに語った。元インシデント対応者のライアン・クリフォード・ゴールドバーグとケビン・タイラー・マーティンは、ランサムウェア運用者として副業しており、2023年に起きた一連のランサムウェア攻撃について先月罪を認めた。
「体系化された実務コミュニティも、ピアレビューも、交渉担当者を認定したり責任を問ったりする公的に認められた機関もありません」と、XFIL Cyberのプリンシパルであるジョン・ディマッジオはCyberScoopに語った。「これはサイバーセキュリティの中でも数少ない、実質的な標準が存在しない領域で、規制のない職人的手法が、いまだに西部開拓時代のように運用されています。」
この不均一なアプローチは、特に大手インシデント対応企業の間で顕著で、ランサムウェア交渉に対する許容度はさまざまだ。CrowdStrikeとMandiantは明確に一線を引き、顧客に対してランサムウェア交渉サービスを提供していない。
顧客がランサムウェア集団への支払いを検討している場合、Mandiantは選択肢を説明し、判断は顧客に委ねる。Google傘下の同社は、当該集団が条件を守る評判について把握している情報も共有し、ランサムウェア交渉を専門とする第三者ベンダーの一覧も提供する。
CrowdStrikeで対敵対者オペレーションを統括するアダム・マイヤーズは、身代金を支払うべきではないという立場を堅持している。しかし彼も、それが常に単純ではないことを認めている。
「支払っても良いことは何もない」。だが、事業の破綻か、あるいはサービス提供先の人々を重大な危害のリスクにさらす可能性か、という究極の選択を迫られる極端なケースでは、被害者は身代金を支払う以外に選択肢がないこともある、とマイヤーズは述べた。
Palo Alto NetworksのUnit 42は最後まで対応するが、支払いの直前で止める。「私たちの境界線は、ランサムウェアの支払いは実行しないことです。これは、取引そのものから切り離すために、意図的にそう決めています」と、Unit 42のコンサルティング担当副社長スティーブ・エロヴィッツはCyberScoopに語った。
「顧客から求められれば交渉は行いますが、支払いは行いません」と彼は付け加えた。「複雑さの問題もありますが、道徳的な側面もあります。取引そのものには、正直、関わりたくないのです。」
ランサムウェア対応におけるレッドライン――ダークウェブのフォーラムで盗難データや違法データを閲覧すること、その情報を収集すること、サイバー犯罪者と関与すること、交渉すること、そして最終的に支払いを実行すること――は、関係者を自分の許容範囲の外へ押し出しかねないと、Bitdefenderの主任サイバーインテリジェンスアナリストであるショーン・ニッケルは述べた。
透明性の欠如が孤立を生む
こうした自己設定の制限は、ランサムウェア交渉がいかに秘密主義になりがちかを浮き彫りにしており、その結果、犯罪者が繁栄する真空地帯が生まれるとディマッジオは述べた。
「透明性の欠如は、あらゆる人を孤立させます」と彼は言う。「被害者は何が普通で何が公正なのか分からず、法執行機関はしばしば推測するしかなく、犯罪者はその沈黙を利用して物語を支配し、価格をつり上げるのです。」
ニッケルは、ある程度の秘密性は必要だとしつつも、ランサムウェア交渉担当者が「免許なしで活動しているようなもので、正直少し怖い」と述べた。
多くのインテリジェンス業務には専門資格が存在するが、ランサムウェア交渉には何もない、と彼は付け加えた。
ランサムウェア集団に潜入して活動を調査し、リーダーを特定(ドックス)し、そうでなければ語られない物語を記録してきたディマッジオは、被害組織が同じ過ちを繰り返し続けているのは、攻撃から得られた教訓がほとんど共有されないからだと述べた。
「業界が、匿名化された交渉データを収集・分析する責任ある方法を見つけるまで、私たちは各案件を暗闇の中で戦い続けることになります」と彼は言う。「透明性とは被害者を辱めることではありません。犯罪者に秘密という優位性を与えないことなのです。」
専門家によれば、ランサムウェア交渉をオープンに共有することは、多くの重要な理由から現実的ではない。こうした通信には秘匿特権の対象となる情報が含まれ、攻撃者に対抗戦略を悟らせたり、被害者をさらに侵害するためのてこ(レバレッジ)として使える情報を与えたりしかねない。
「実務を損なわない形でそれを行うのは難しいでしょう」と、7月にランサムウェア交渉担当者としての経験をまとめた本を出版したGroupSenseの共同創業者で元CEOのカーティス・マインダーは述べた。
FBIで20年勤務した後、Halcyonのランサムウェア研究センターに上級副社長として加わったシンシア・カイザーも、その見解を共有している。
「被害者を再び被害者にするようなことはしたくありません」と彼女は言う。「その情報が外に出るなら、それは被害者自身の選択であるべきです。」
交渉にまつわる「闇」は、むしろ「これらのランサムウェア攻撃がどれほど陰湿でひどいもので、誰を攻撃しているのか」をよりよく理解する必要性ほど重視されるべきではない、とカイザーは付け加えた。
「それこそが、脅威の実際の規模に本当に向き合う唯一の方法ですが、今はそれが起きていません」と彼女は言う。「その情報が十分に世に出ていないのです。」
交渉における主要スキルと考慮事項
マインダーは2019年、偶然かつ本意ではない形で初めてのランサムウェア交渉に引き込まれた。「多少しぶしぶながら、もっとやることに同意したら、そこから雪だるま式に増えていきました」と彼は言う。「本当はやりたくなかったんです。」
それ以来、マインダーは大企業や中小企業のために数百件のランサムウェア交渉に関わり、個人の時間でボランティアとして支援したこともある。
良い交渉担当者の条件を測るリトマス試験紙はないが、ソフトスキルと感情知能が極めて重要だと彼は述べた。
「共感は最も重要なことの一つです」とマインダーは付け加えた。「同情ではなく共感です。悪者の立場に自分を効果的に置けることは、非常に強力です。」
ランサムウェア攻撃が増えるにつれ、支払いを引き出そうとする攻撃者の動機も混在するようになった。
過去4年間で攻撃者の気質の不安定さが増し、交渉担当者が対応で留意すべき点を複雑にしていると、Veeam傘下Covewareのインシデント対応担当シニアディレクターであるリジー・クックソンは述べた。
「支払いを受け取ることに熱心ですが、同時に悪名や自慢、メディアの注目のためにやっている攻撃者もいます」と、10年以上ランサムウェア交渉担当者として働いてきたクックソンは言う。「そこで、より懸念すべき行動――より強い敵意、脅威アクターによる暴力の示唆、家族に対する脅し――に遭遇し始めるのです。」
こうしたケースは、今でははるかに頻繁に起きており、約束が破られる――その結果を避けるために身代金を支払ったのにデータが漏えいする、あるいは追加の恐喝要求が続く――可能性が高いと彼女は述べた。
実際、サイバー犯罪者は被害者への圧力を増幅させるために、常に新たな糸口を引き出す。これには、ランサムウェア集団が幹部に電話して脅し、幹部の子どもが通う学校や住所、通勤経路を知っていると主張する、といった物理的恐喝の要素も含まれると、FlashpointのCEOジェフ・レフコウィッツは述べた。
これらの脅しは、ビジネスリーダーを不安定で予期せぬ立場に追い込み、サイバー攻撃にどう対応するかについての先入観を揺さぶると、レフコウィッツは述べた。
ランサムウェア交渉では、必要なことと正しいことの間を行き来することが求められるとディマッジオは述べた。「重要なのは、あらゆる交渉を単なる取引ではなく、人間的な帰結を伴う危機として扱うことです。」
交渉担当者が過去の事例を振り返る
ランサムウェア交渉担当者は、経験してきたパターンに基づく共通のチェックリストをたどる傾向があるが、各インシデントは固有であり、ある程度の即興対応が必要になる。
Surefire Cyberでデジタル・フォレンジックおよびインシデント対応のシニアディレクターを務めるマット・ダウリングは、ランサムウェア運用者は全体として、2019年に自分が交渉に関わり始めた頃よりも今の方が信頼できると述べた。また、脅威インテリジェンスがより有用になり、交渉がデータ主導の取り組みになったことで、実務も改善したという。
ダウリングはランサムウェア運用者を2つのグループに分けている。名前のある集団と、名前のない集団だ。名前のある集団は守るべき評判があるためより信頼できる一方、名前のない集団は被害者への再恐喝を行ったり、主張の証拠を提示しないなど、ランサムウェア交渉の標準から逸脱したりする可能性が高い。
それでも、支払いの大半は被害者にとって良い結果につながると彼は言う。ダウリングが仲介した支払いの最小額は約6,000ドルで、最大額は約800万ドルだったという。
交渉が追加の問題なく突然終わることもある。こうしたケースは通常、慈善団体や非営利団体が関わる場合だと、マインダーは述べている。
彼が担当したあるケースでは、乳がんの無料検診を提供する慈善団体が被害に遭った。その際、彼は攻撃者にこう尋ねただけだった。「なぜこんなことをするのですか? この人たちには余分なお金なんてありません。」
攻撃者は、当該組織が5,000ドルの身代金を支払うことに同意した後、手を引いた。これは、ランサムウェア集団が攻撃実行に要したコストだと主張した額を補填するためのもので、当初要求の200万ドルから大幅に値引きされた金額だった。
データ恐喝を伴うケースが終結する際、交渉担当者はデータが削除された証拠を求めるが、それを確認することは不可能だ。自分たちの仕事に特に誇りを持つ攻撃者の中には、どのように侵入したかについて詳細な報告書を提供する者もおり、その情報は被害者とインシデント対応者が何が起きたのかを理解する助けになる。
専門家によれば、弁護士、保険会社、法執行機関が関与すると、ランサムウェア交渉に関わる人数はかなり多くなり得る。こうした往復の妥協の期間は、数時間で終わることもあれば、最長3カ月に及ぶこともある。
戦術が交渉プロセスを規定する
交渉担当者はまた、可能な限り低い支払いで顧客の目的を達成するために、概ね似た戦略を用いる。
ランサムウェア集団に関する脅威インテリジェンスは、より穏健なアプローチか、より強硬なアプローチかの判断を導き得るが、いずれの場合も「最初の時点では脅威アクターがすべての主導権を握っている」とダウリングは述べた。
「こちらの主導権は、脅威アクターが支払いを受け取りたいという点です。彼らが支払いを受け取る唯一の方法は、合意に至ることです」と彼は付け加えた。
CyberScoopが話を聞いたすべてのランサムウェア交渉担当者が、遅延の重要性に言及した。「時間は常に味方です」とクックソンは言う。「最初のインシデントから日が経つごとに、私たちはより多くの可視性を得られ、意思決定者は恐怖や感情ではなく、実データに基づいて、はるかに自信を持って判断できるようになります。」
被害者の代理として動く交渉担当者による最初の連絡は短く簡潔にし、序盤は攻撃者にできるだけ話させるべきだとマインダーは述べた。また、できる限り長く、金額の話や立場に基づく駆け引きは避けるべきだという。
罵倒したり、対立的な言葉遣いをしたりするのも、マインダーにとっては絶対にNGだ。「メッセージの中で失望を伝える方法は、喧嘩腰の言葉以外にもあります」と彼は言う。「相手も人間です。自尊心があるので、それを念頭に置く必要があります。」
遅延戦術は、交渉担当者が数字を書面で提示する前に、攻撃者自身に要求額を疑わせるために設計されているとマインダーは述べた。
さらに、これはお金だけの問題ではない。ランサムウェア運用者は承認や、自分たちが主導権を握って勝っているという感覚を求めているのだと、彼は言う。
最悪の結果は、支払いを急ぎ、それで苦痛がすべて消えると思い込む被害者に起きると、クックソンは述べた。
金銭的インセンティブが倫理的課題をもたらす
ランサムウェアは繁栄する犯罪ビジネスであり、財務省の金融犯罪取締ネットワーク(FinCEN)によれば、2024年12月までの3年間で支払い総額は合計21億ドルに達し、2023年と2024年の攻撃総数は約3,000件に上る。
当然ながら企業はその活動の中に商機を見いだし、ブティック企業は、攻撃後に被害組織の代理としてランサムウェア交渉に関与することで支援するチームを編成してきた。
この周辺産業は、追加の倫理的課題を生む。特に、ランサムウェア交渉が行われ、場合によっては支払いに至ることに、あらかじめ金銭的インセンティブが組み込まれている場合だ。
請求の透明性が全般的に欠けていることにより、こうした企業の一部の慣行はより厳しい精査の対象となっている。定額料金や時間単価を請求する企業もあれば、達成した身代金減額の割合に基づく成功報酬モデルを用いる企業もあると、ディマッジオは述べた。
「業界全体の標準ではありませんが、起きています。そして明確な利益相反を持ち込みます」と彼は付け加えた。「交渉担当者の収入が身代金の結果に依存すると、被害者を代表することと、犯罪から利益を得ることの境界が曖昧になります。」
実際に、身代金支払い額の一定割合を手数料として請求するランサムウェア交渉サービス提供者もいるが、被害組織はそのモデルを採用する企業を雇うべきではないと、エロヴィッツは述べた。
「支払いの一定割合を得るなら、少なくとも、そうでなければもっと下げられたかもしれないところまで交渉で下げない、という金銭的インセンティブが生まれます」と彼は付け加えた。
ディマッジオは、サービス提供者がランサムウェア交渉の価格をどのように設定しているのかについて、より明確になることを望んでいる。それがなければ、「業界は道徳的なグレーゾーンに住み続けることになる。善意が、意図せずして、私たちが解体しようとしている生態系そのものを支えてしまう場所だ」と彼は述べた。
交戦規定は適用されない
ランサムウェア交渉は、交戦規定に関する業界全体の集団的合意がないまま、定義が曖昧で、ほとんど制限のない慣行として残っている。
業界が結集できるルールを定義しようとする試みは、競合他社同士を対立させる可能性があり、規範を曲げることにより積極的な者が、より不誠実なサービスを提供してビジネスを獲得する余地を残しかねない。
交渉担当者は、制裁対象の犯罪者と関与したり送金したりして法を犯していないことを確認しさえすれば、実質的に縛りがなくなる。
それでも、チェック・アンド・バランス、監督、透明性、そして交渉担当者が職業上・個人上の一線を越えずに従える標準化されたルール一式が必要だという未充足のニーズがある。
外部監督の難しさの一部は交渉行為そのものにある。交渉は、仲介者が攻撃者との間に限定的な信頼を築き、公の場では受け入れられにくいかもしれない会話を重ねることを要する「技術」だと、エロヴィッツは述べた。
「それを顕微鏡の下に置くと、悪者よりも善玉の方を抑制してしまう可能性があります」と彼は言う。ただし、支払いそのものは、より多くの精査から恩恵を受け得ると、エロヴィッツは付け加えた。
目的の明確さが、これらすべての要素に優先して勝るべきだ。
犯罪者を利することなく被害者を守ることが、ランサムウェア交渉の第一原則だが、そのバランスは暗闇の中では管理できないと、ディマッジオは述べた。
「監督の欠如が、交渉の両側からの濫用を許しているのを、私は現場で見てきました」と彼は言う。
操作を防ぐために、ディマッジオは、標準化された枠組み、審査済みの交渉担当者、記録され監査可能なコミュニケーション、匿名化された事後レビューを求めた。
「説明責任がなければ、被害者は二重に支払うことになります」と彼は言う。「一度は犯罪者に、そしてもう一度は、自分たちを救うと主張する人々に。」
ランサムウェア交渉担当者として過ごした年月の傷は、マインダーを、関わる前に抱いていた直感へと引き戻した。「これはビジネスであるべきだとは思いません。報酬を得てやってきた私が言うのですが」と彼は述べた。
「ほとんど寄生的な産業のようなものです」とマインダーは言う。「被害者から利益を得ているのです。」
翻訳元: https://cyberscoop.com/ransomware-negotiation-pitfalls-moral-gray-zone/
