交渉や身代金支払いをする価値がない相手もいる、その見極め方
ランサム脅迫者との身代金交渉のコツは? “交渉代行人”Coveware CEOが語る
2025年06月10日 08時00分更新
ランサムウェア攻撃は依然として企業にとっての深刻な脅威である。そんな状況下で、攻撃を受けた企業から依頼を受け、犯罪者グループ(脅威アクター)との交渉を行ってきたのがCoveware(コーブウェア)だ。
同社は2024年、Veeam Softwareに買収され、そのリーチをグローバルに拡大している。同社の共同創業者でCEOを務めるビル・シーゲル氏が、同社創業の経緯から、犯罪者との交渉の実態、無駄な身代金や時間を費やさずに事態を収束させるポイント、日本市場への展開などを語った。
Coveware 共同創業者兼CEOのビル・シーゲル(Bill Siegel)氏
ランサムウェア攻撃の「正確な情報を知りたい」からスタート
――まずは、2018年のCoveware創業に至った経緯を教えてください。
シーゲル氏:当時は“40秒に1件”という勢いでランサムウェアインシデントが発生しており、被害企業の75%は従業員1000人以下の規模だった。それくらい大きな問題になっていたにもかかわらず、実際のインシデントの中でどんなことが起きているのかはほとんど知られていなかった。そもそも「質の高いデータを収集しよう」という動きすらなかったからだ。
自動車事故を研究せずに安全な車を作ることはできないのと同じように、ランサムウェアの問題を解決するには正確なデータが必要だ。そこで、インシデントに関するデータを収集し、そのデータで何か“興味深いこと”をする方法を見つけようとCovewareを起業した。
当時はまだ、どんなサービスや製品を提供するのか、といったことは明確には見えていなかった。まずはランサムウェア事件に関する正確な情報を収集する方法を見つけたい、ということでスタートした。
――創業時点では具体的なサービス、製品の構想があったわけではないのですね。
シーゲル氏:Coveware設立まで、私は財務畑を歩んできた。直近では、サイバーセキュリティ評価会社であるSecurityScorecardでCFOを務めていた。共同創業者(アレックス・ホールドマン氏)は、セキュリティベンドナーのDattoに勤務していた。
私もホールドマンも、ランサムウェアを専門としていたわけではないが、返ってそれが良かったのだと思う。市場に存在するものだけでなく、「市場には存在しないが必要とされているものは何か」という観点を得ることができたからだ。
――設立から5年を振り返って、ランサムウェア攻撃の数や戦術はどのように変化したのでしょうか?
シーゲル氏:2018年から2021年にかけて、攻撃量は劇的に増加した。大きな背景として、ランサムウェア攻撃を行う脅威アクターが、小企業に使っていた戦術が大企業にも有効であることに気がついたことが挙げられる。そのため、大企業も被害に遭うようになった。また、脅威アクターグループ自体がより洗練され、運営を拡大している。
2021年に米国の石油パイプライン企業、Colonial Pipelineがランサムウェア攻撃を受けたことで、大企業の幹部たちも「これは自社も狙われかねない」と思うようになった。この事件を契機に、大企業はセキュリティ予算、インシデント対応予算、バックアップ/DR予算を増額し、セキュリティ体制を改善した。
その結果、ランサムウェア攻撃の成功率は下がっている。もっとも、攻撃は現在でも継続しており、頻度も下がってはいない。われわれは“モグラたたき”のように、終わりがないことを受け入れなければならない。
まずは「交渉する価値のある相手かどうか」を見極める
――Covewareでは、ランサムウェア攻撃を受けた企業に代わって、犯罪者との交渉などの対応をするとのこと。実際の流れを教えてください。
シーゲル氏:ランサムウェアインシデントにおけるわれわれの対応プロセスは、「脅威の評価-交渉-解決-ダウンタイムの収束」という流れになっている。
Covewareによるインシデントレスポンス支援サービスの全体像(Veeam発表会資料より)
まず最初にクライアントへの影響を理解したうえで、ランサムウェアと脅威アクター(ランサムウェアグループ)を特定し、脅威アクターに関する情報をクライアントに提供する。
より具体的に言うと、ランサムウェア攻撃が発生したというクライアント企業からの連絡を受けて、何が起こったのか、それが企業にどのような影響を与えているのかなどを把握する。ランサムウェアの種類や攻撃手法などから脅威アクターを推測し、われわれが持つデータベースと照合する。Covewareには、その脅威アクターがどんな存在なのか、そのタイプの脅威アクターを扱うにはどんなやり方が良いのか、といった情報を蓄積したデータベースがある。
脅威アクターの中には、交渉をしても有益な結果につながらないグループもいる。交渉が成立しても、彼らが送ってくるものは復旧の役に立たないのだ。われわれの目的は「クライアント企業のダウンタイムを早く終わらせること」なので、このような相手との交渉は“時間の無駄”だと言える。その一方で、交渉すれば復号キーや盗まれたデータに関する貴重な情報を得ることができる脅威アクターもいる。どんな相手なのかを知ることが大切だ。
たとえば、ノートPCが1台だけ感染し、ローカル保存のファイルが盗まれただけで、脅威アクターも気まぐれな、返信すらしないような相手だと判断した場合は、クライアント企業に「連絡は取らなくていい」と伝える。時間の無駄だからだ。
しかし、1万台のPCが感染して事業継続ができなくなり、脅威アクターが交渉に応じるタイプで復号キーも安価に入手できると判断した場合は、交渉すべきだと助言する。
