Recorded Futureはこのほど、「What is Old is New Again: Lessons in Anti-Ransom Policy|Recorded Future」において、ランサムウェアの脅迫モデルを誘拐事件に照らし合わせて考察した文章を公開した。ランサムウェアはデータを人質に取り金銭を要求する。この行動が従来の誘拐事件と本質的には同一であり、過去の誘拐事件において各国の法執行機関がどのような対策を実施してきたか、それがランサムウェア対策に有効かを考察している。
誘拐事件の3つの対策
Recorded Futureは、過去の誘拐事件において実施された次の3つの対策について、その有効性を考察している。
( 1)身代金の支払いを禁止する
誘拐犯の多くは経済的利益を求めて誘拐事件を引き起こす。そのため、誘拐後に何らかの手段を用いて被害者の関係者に身代金を要求する。この身代金の支払いを法的に禁止し、絶対に利益を得られない状況を作ることで誘拐事件そのものを根絶する試みが実施されてきた。
過去の事例では、身代金の支払いを禁止することで誘拐事件は減少したとされる。しかしながら、明確な検証はできていない。支払いの禁止により被害者家族は通報をためらい、秘密裏に交渉に応じるようになるため、統計上減少したように見えているだけとの指摘がある。
(2)身代金保険
身代金保険は治安が著しく悪い地域への渡航者や組織に人気があるとされる。一般的にこの保険では身代金の支払い、医療、誘拐によって生じた損失が補償される。最近ではコロンビアの誘拐事件の増加に伴う保険加入がみられるという。
この保険の加入者は身代金の支払い能力があると誘拐犯から見えるため、積極的な標的になる可能性があると指摘されている。ランサムウェアにおいても、サイバー保険に加入している組織が狙われやすいとの主張が存在する。しかしながら、保険会社は加入者を保護するための対策を実施するため、必ずしも標的になりやすいわけではないとの反対意見も存在する。
( 3)身代金の支払い報告を義務付ける
この対策は直接誘拐事件の減少にはつながらない。しかしながら、コロンビアの「平和のための特別管轄権(JEP: Jurisdicción Especial para la Paz)」と呼ばれる組織は、この仕組みを利用して1993年から2012年の間に21,000人の被害者を特定できたという。また、誘拐の動機の傾向やパターンの特定に役立ったとしている。
ランサムウェア被害においても同様の取り組みが始まっている。米国保健福祉省(HHS: United States Department of Health and Human Services)は医療関係企業に対し、特定の状況における侵害報告を義務付けている(参考:「U.S. Department of Health & Human Services - Office for Civil Rights」)。この政策により米国は医療侵害に対する洞察力が強化されたとしている。
結論
Recorded Futureによると、現在のランサムウェア対策は身代金の支払いを抑制することに焦点を当てているという。この方針の是非はまだわからないが、ランサムウェアグループの犯行動機は経済的利益であり費用対効果が低下すれば、攻撃の減少につながる可能性はある。
ランサムウェアの運用には維持コスト(ドメインやサーバの管理費、関係者の人件費、電気代、通信費など)が発生する。利益が減少すれば脅威グループは他の選択肢に目を向ける可能性がある。この費用対効果の分析は一部の法執行機関からも注目されているという。
Recorded Futureはこの考察から、ランサムウェアをサイバーセキュリティの問題ではなく刑事司法上の問題との見解を示している。また、ランサムウェアの阻止は、ランサムウェアのコストを増加させることを意味すると述べている。
つまり、ランサムウェアはサイバーセキュリティによって阻止できるものではなく、立法、行政、および法執行機関の対策によってコストをどれだけ増加させることができるか、この1点にかかっていると結論づけている。