// シス担のミカタ
インシデント対応

身代金支払いの判断 みのしろきんしはらいのはんだん

ランサムウェアサイバー恐喝インシデント対応事業継続危機管理CISO
身代金支払いの判断について教えて

簡単に言うとこんな感じ!

ランサムウェアに感染して「データを返してほしければお金を払え」と脅されたとき、「払う?払わない?」を決める超重要な判断のことだよ。払えば解決するとは限らないし、法律的にもリスクがあるから、専門家と連携して慎重に考えなきゃいけないんだ!

身代金支払いの判断とは

ランサムウェア(身代金要求型マルウェア)攻撃を受けた組織が、攻撃者から要求された金銭(多くは暗号資産)を支払うかどうかを意思決定するプロセスのことです。単純に「払えばデータが戻る」という問題ではなく、法的リスク・再攻撃リスク・事業継続性・倫理的側面など多岐にわたる要素を総合的に評価する必要があります。

この判断は、経営層・法務・情報セキュリティ担当・外部のインシデントレスポンス専門家が連携して行うべきものです。「現場の担当者が一人で決める」性質のものではなく、組織として合意形成されたプロセスに基づいて動くことが強く推奨されています。

日本国内においても、内閣サイバーセキュリティセンター(NISC)や警察庁は「身代金の支払いは推奨しない」という立場を明確にしています。ただし、法的に支払いが一律禁止されているわけではないため、実際には個々の状況に応じた慎重な判断が求められます。

判断を左右する主要な要素

身代金支払いを検討する際に評価すべきポイントは以下の通りです。

評価軸払わない方向の根拠払う方向の検討理由
法的リスク制裁対象グループへの送金は経済制裁法違反の可能性法務・顧問弁護士が問題なしと判断した場合
データ復旧可能性バックアップから復旧できるバックアップが暗号化・破壊されており復旧不能
攻撃者の信頼性支払っても鍵を渡さないケースが多数報告過去の事例でその攻撃者グループが鍵を渡した実績
再攻撃リスク支払うと「カモ」と見なされ再攻撃を招く同一グループからの再攻撃対策を講じた上で支払い
事業継続への影響支払わなくても事業継続手段がある命に関わるシステム(病院等)で即時復旧が必須
社会的影響・倫理攻撃グループの資金源となり犯罪を助長するステークホルダーへの損害が壊滅的で他に選択肢がない

「払っても戻らない」は珍しくない

セキュリティ調査会社Sophosの報告(2023年)によると、身代金を支払った組織のうちデータを完全に復旧できたのは約47%に過ぎません。支払いはあくまで「可能性に賭ける」行為であり、保証は何もないのが実態です。

制裁リスクとは

米国財務省OFAC(外国資産管理局)は、北朝鮮系ハッカーグループ「Lazarus」やロシア系グループ「Evil Corp」などを制裁対象リストに指定しています。これらのグループに身代金を支払うと、日本企業であっても米国の経済制裁に抵触するリスクがあります。支払い前に「相手が誰か」を特定する作業が不可欠です。

歴史と背景

  • 2013年頃 — 「CryptoLocker」が登場し、ランサムウェアによる身代金要求が実用化される。最初期は数百ドル規模の要求が中心
  • 2016〜2017年 — 「WannaCry」「NotPetya」が世界規模で感染爆発。病院・インフラへの被害が表面化し、身代金支払いの判断が経営課題として認識され始める
  • 2019年頃〜 — 「二重脅迫型」(データ暗号化+窃取データの公開脅迫)が登場し、バックアップだけでは解決できない状況が増加。支払い判断がさらに複雑化
  • 2021年 — 米国のコロニアル・パイプライン社が450万ドルを支払い後、FBIが約85%を回収。身代金の追跡・回収が技術的に可能になってきたことが示される
  • 2021年 — 米国財務省がOFACガイダンスを更新し、制裁対象グループへの支払いは民事制裁の対象となりうることを明示
  • 2022年〜現在 — 日本国内でも大手企業・病院・自治体へのランサムウェア被害が続出。NICSや警察庁が相談窓口を設置し、支払い前の報告・相談を推奨

意思決定フローと関係者の役割

身代金支払いの判断は「一人で即断しない」ことが鉄則です。以下に推奨される意思決定フローを示します。

身代金支払い判断フロー ① 感染検知・初動対応 ネットワーク遮断・証拠保全 ② インシデントレスポンスチーム招集 経営層・法務・CISO・外部専門家 ③ 攻撃者グループの特定 制裁リスト照合・マルウェア種別確認 ④ 復旧オプションの評価 バックアップ・復号ツール・再構築コスト比較 ⑤ 警察・NISCへの相談・報告 支払い前に必ず関係機関へ連絡 ⑥-A 支払わない判断 復旧代替手段で対応 ⑥-B 支払いを検討 法務確認・交渉専門家を介在 ⑦ 事後対応・再発防止策の実施 フォレンジック・セキュリティ強化・関係者報告

交渉専門家の活用

「支払いを検討せざるを得ない」状況になった場合でも、直接攻撃者と交渉するのは危険です。ランサムウェア交渉の専門会社(Coveware等)を介在させることで、要求額の減額交渉・相手の信頼性確認・法的リスクの管理を適切に行うことができます。

支払わない場合の復旧手段

身代金を払わずに解決するための選択肢を整理しておくことが、事前対策として最も重要です。

手段内容条件
バックアップからの復旧オフラインまたはイミュータブル(変更不可)バックアップからシステムを復元感染前の正常なバックアップが存在すること
無料復号ツールの活用「No More Ransom」プロジェクト等が公開している復号ツールを使用対応するランサムウェア種別であること
フォレンジック解析による鍵特定マルウェアの実装上の欠陥を突いて暗号鍵を推測・復元攻撃者の実装が不完全な場合(まれ)
システム再構築暗号化されたシステムを破棄して一からインフラを再構築時間・コストはかかるが確実

関連する規格・RFC

規格・文書内容
NIST SP 800-61 Rev.2コンピュータセキュリティインシデント対応ガイド(NIST)
NIST SP 800-184サイバーセキュリティイベントからの復旧ガイド

関連用語