JD・ハリス氏はArgent Reachの共同創業者兼最高経営責任者(CEO)である。
まず最も重要な結論から述べよう。身代金を支払ってはならない。
私はこう述べるが、経営者が追い詰められたと感じる稀な状況があることは承知している。私は取締役会やオーナーチームとともに、画面に表示された身代金要求を見つめ、刻々と減っていく時間を眺め、犯罪者が送金すれば復号化キーを渡すと約束する声を聞いた経験がある。そのストレスと恐怖を目の当たりにしてきた。何世代にもわたる遺産が一夜にして消えるかもしれないと心配する同族企業を見てきた。
しかし、身代金を支払うことが正しい答えとなることはほとんどない。そして、その証拠は明白である。
支払いは標的にされる原因となる
すべての経営者を立ち止まらせるべき数字がある。身代金を支払った組織の約78%が再び攻撃を受けているのだ。そのうち3分の1のケースでは、同じハッカーが戻ってきている。残りのケースでは、あなたを簡単な標的と見なす新たな攻撃者によるものだ。
身代金を支払うのであれば、他の攻撃者があなたを狙わない理由があるだろうか。あなたは脆弱な標的となる。それは技術的な理由ではなく、アプローチの問題なのだ。
ダークウェブでは、情報が素早く動く。犯罪グループは誰が支払ったか、どれだけ早く支払ったか、どれだけの交渉力を持っているかを追跡している。身代金を支払うことは、技術的な脆弱性があり、交渉に応じる意思があり、長期的な回復力よりも短期的な救済を選ぶというメッセージを送ることになる。この組み合わせは、攻撃者にとって非常に魅力的なのだ。
身代金を支払っても免除されるわけではない。それはあなたの背中に標的を描くことになる。
支払いは根本原因を解決しない
ランサムウェア攻撃は偶然には起こらない。悪意ある攻撃者が、不十分なパッチ適用、時代遅れの基準、成功したフィッシング、露出した認証情報などの脆弱性を見つけ、それを悪用するのだ。企業が攻撃者がどのように侵入したかを把握せず、それらの領域を真の回復力のレベルまで引き上げなければ、同じ脆弱性が引き続きあなたが脆弱であることを示し続ける。
あまりにも多くの組織が、1つの根本原因を特定し、その特定の問題を修正して先に進む。しかし、サイバーセキュリティは、より強固なシステムに貢献する保護の層に依存している。1つの重大な脆弱性があれば、おそらく複数の脆弱性がある可能性が高い。身代金を支払ってシステムを復号化することで業務を再開できるかもしれないが、それは全体的なサイバーセキュリティ態勢を改善するものではない。そして、その態勢が改善されなければ、問題を解決しているのではなく、先延ばしにしているだけなのだ。
また、支払いが解決を保証しないという不快な現実もある。復号化キーを受け取れるかもしれないし、受け取れないかもしれない。たとえ受け取ったとしても、攻撃者はしばしばあなたのデータのコピーを保持している。そのデータは売却されたり、流出したり、後で再び交渉材料として使用されたりする可能性がある。システムへのアクセスを回復しても、依然として持続的な脆弱性を抱えている可能性があるのだ。
犯罪者は恐怖と緊急性を悪用する
ランサムウェア攻撃が発生すると、それは技術的な問題であると同時に、経営上の緊急事態でもある。
最高情報責任者(CIO)やIT責任者は、途方もない圧力にさらされる。収益が停止するかもしれない。業務が凍結されるかもしれない。取締役会は、支払って苦痛を止める方が簡単ではないかと尋ねる。
攻撃者はこれを理解している。彼らは交渉中の恐怖、緊急性、感情的な手がかりを監視している。彼らは期限を設定する。脅威を強め、評判リスクを利用する。医療などの一部の業界は、予算やその他の優先事項により、脆弱な技術を使用することが多い。金融サービスなどの一部は、より多くの現金を持っていると認識されている。インシデント前に準備をせず、敵対者のように考えていなければ、恐怖に基づいて交渉する可能性が高い。そして、それこそが彼らがあなたを置きたい場所なのだ。
影響はITを超えて広がる
システムが暗号化され、ビジネスができなくなると、取引先が気づく。顧客が気づく。規制当局が気づく。大規模組織は、パートナーに対して監査と回復力の証明をますます要求している。侵害は、厳格な監視を引き起こし、主要な関係を維持するためのコストを高める可能性がある。
組織内部でも、結果は同様に困難なものとなり得る。インシデント中のベストプラクティスは、コミュニケーションを知る必要がある者に厳しく制限することだ。しかし、突然システムにアクセスできなくなり、あまり情報を受け取っていない従業員は、不安を感じ、疎外感を覚えるかもしれない。
経営陣が最終的に支払うことを決定した場合、身代金の支払いが組織犯罪に資金を提供することを理解している従業員は、その決定に疑問を抱くかもしれない。ランサムウェアがはるかに大きな犯罪エコシステムに資金を提供していることを、人々はますます認識している。
ほとんどの経営者が予期しない法的リスク
攻撃者が外国人である場合、身代金の支払いは米財務省外国資産管理局(OFAC)からの監視を引き起こす可能性がある。OFACは厳格責任基準の下で運営されているため、攻撃者が制裁対象であることを知らなかったとしても、組織は民事罰に直面する可能性がある。危機を解決するための支払いが、すぐに規制リスク事象となるのだ。
攻撃者が国内の場合、ホブズ法が適用される可能性がある。恐喝はすでに違法であるため、その活動を維持する資金を故意に送金することは、当局が誘拐や恐喝事件での支払いを扱う方法と同様に、支払者を法的監視にさらす可能性がある。
これが、法律顧問を早期に関与させる必要がある理由だ――サイバー経験のある法律顧問を。
あなたはより大きな戦争の一部である
これは、より多くの経営者が行う必要があると私が信じるマインドセットの転換である。
ランサムウェアを経験している企業は、局地的な不便に対処しているのではない。あなたは、急速に拡大し、十分な資金を持つ犯罪経済を含む、はるかに大きな戦争の一部なのだ。身代金の支払いは、組織的なサイバー犯罪ネットワークに資金を提供する。それは攻撃者のツールを改善する。それは、将来あなたや他の誰かに害を及ぼす可能性のある脅威そのものを産業化するのだ。
企業が支払うとき、彼らは自分たちの短期的な苦痛を解決しているかもしれないが、毎年より危険になる産業の成長にも貢献しているのだ。
支払うか支払わないかは、単なるビジネス上の決定ではない。それは倫理的な決定なのだ。
中小企業は主要な標的である
小規模組織は隔離されているという根強い神話がある。「私たちはただの中小企業だ」という考えはもはや通用しない。
自動化、AI対応スキャンツール、サービスとしてのランサムウェアプラットフォームが、競争条件を平準化した。中小企業はしばしばより簡単な標的となる。多くは相当な金額を支払うのに十分な規模だが、グローバル企業の防御的成熟度を欠いている。
これらの組織は、サイバーセキュリティ人材に関しても、しばしば十分なサービスを受けていない。熟練した実務者は、実際のインシデントに取り組み、スキルを磨き続けることができるコンサルティングやマネージドサービス環境に引き寄せられる。企業チームは、そのレベルの専門知識を引き付け、維持するのに苦労することが多い。攻撃者はその不均衡を理解している。
持続可能な答えは準備である
支払いが答えでないなら、何が答えなのか。準備である。
すべての組織は、文書化され、実践されたインシデント対応計画を持つべきである。外部のサイバー弁護士を事前に特定すべきである。経験豊富なインシデント対応チームを、たとえリテイナー自体が最小限であっても、リテイナー契約で確保すべきである。オフラインまたは不変のバックアップを配置すべきである。経営チームは、恐喝シナリオをシミュレートし、困難なコミュニケーション決定を強制する現実的な机上演習に参加すべきである。
これらの演習は、実際の危機が発生する前に経営者が明確に考えられるよう、管理された環境でプレッシャーを生み出すべきである。ランサムウェアへの対応を実践する最初の機会は、それが実際に起こっているときであってはならない。
インシデントからの回復は、数週間ではなく数日で行われるべきである。根本原因分析は徹底的でなければならない。封じ込め後、焦点は環境の強化、技術的負債の排除、回復力の強化に移るべきである。サイバーセキュリティは、到達する目的地ではない。それは絶えず進化する旅なのだ。
身代金よりも回復力を
企業が支払う理由は理解している。私はそれらの部屋に座ってきた。経営者が「支払えば簡単ではないか」という質問と格闘するのを見てきた。
しかし、簡単であることと賢明であることは同じではない。
支払いは再び攻撃される可能性を高める。それはシステム的な脆弱性を解決することはほとんどない。それは法的、保険、評判上の複雑さを生み出す可能性がある。そして、それは私たち全員をより安全でなくする犯罪経済に資金を提供する。
身代金を支払ってはならない。支払う必要がないように準備をしておくべきである。
