Max Smeets著「Ransom War: How Cyber Crime Became a Threat to National Security」
ランサムウェアを使ったサイバー攻撃の実態について、リークされた内部チャットなどの資料を元に明らかにする本。個別のサイバー犯罪から組織化したランサムウェア産業の発足、そして国家によるそれらの利用まで取り上げている。
ランサムウェアとは攻撃対象のデータを盗んだり暗号化して、データの返還や暗号解除の対価として身代金(ランサム)を要求するサイバー犯罪。これまで明らかにされていないセキュリティホールを突くゼロデイ攻撃だけでなく、セキュリティがアップデートされていなかったり設定を間違えているサーバを対象としたものなど技術的なレベルもさまざまで、特定の対象を狙い撃ちにしたものもあればたまたま見つかった脆弱なサーバを攻撃するものもある。技術を持つ人材を組織が抱え込んで大規模に展開したグループもいくつもあり、北朝鮮による外貨稼ぎに動員されたラザルス・グループのように国家と繋がっているものも。
ランサムウェア攻撃は第三者のサーバに侵入し相手の社会的信頼を貶めようとする犯罪だが、それを実行するグループは社会的信用を必要としている。身代金を払えば確実にデータ流出を阻止できる、暗号化を解除してもらえるという信用が得られなければ、被害者は身代金を支払おうとはしないからだ。犯人たちは自分たちに暗号解除の技術的なスキルがあることはデータの一部を返還することで証明できるが、自分たちが身代金の引き渡しに値する信頼できる相手だという保証をするのは難しい。そもそも人のサーバに侵入してデータを人質に取って脅迫しているわけだし信用できるわけがない。だからかれらは、被害者に「このグループに身代金を支払ったらちゃんとデータを返してもらえた」という話を広めてもらうかわりに身代金の割り引きを持ちかけたりする。また病院や水道局など人の命に関わるインフラに攻撃してしまった場合、自分たちがデータを返還したことを公表するのであれば人道的な立場から無償で暗号化を解除すると持ちかけたりすることも。また身代金を支払った相手には今後二度と攻撃しないことを約束し、またサーバの脆弱性を改善するなどのアフターサービスも行う。といってももちろん、一番の脆弱性があるのはコンピュータシステムではなくそこにアクセスする内部の人間なんだけど。
こうした攻撃を防ぐために、犯人に対する身代金の支払いを禁止する法律も議論されている。この国の企業や組織は身代金を払わないとなれば狙われなくなるという考え方があるが、現実に人の命が脅かされているような状況において刑事罰を恐れて身代金を支払わないことが本当に正しいのかという議論も。いくら国家が勇ましく「テロリストとは交渉しない」と宣言していても、それを法的に禁じようとはしないし、時には裏で交渉していたりするのと同じ構図。かといって「人命が脅かされている場合は支払ってもいい」なんていう例外規定を設けると、かえって人命を脅かすような攻撃を増やしてしまうおそれが強い。セキュリティのメンテナンスを欠かさないようにしましょうと言っても完全なセキュリティはありえないし、データを失うことがないように頻繁にバックアップするようにしても勝手に内部のデータを公開される危険は防げない。今後も付き合っていくしかないんだろうなあと思いつつ、シアトル図書館をランサムウェア攻撃でダウンさせて何ヶ月ものあいだネットから切り離す羽目にした奴は絶対許さん(個人的恨み)。
