感染は恐るにたらずとするサイト
ランサムウェアが誕生してから20年以上経つため、すでに多くのランサムウェアに対する復旧ツールが開発されている。インターネットで検索すれば数多くのランサムウェアに対処できると主張するサイトが存在することがわかる。
これらのツールは、ランサムウェアの研究者達が開発したもので、無償で提供されているものも多い。有名なオランダ警察の全国ハイテク犯罪ユニットやユーロポール(欧州刑事警察機構)の欧州サイバー犯罪センターなどが主導する「NO MORE RANSOM」というサイトでは、ランサムウェアの名称を入力してクリックすれば複号ツールのページが表示され、ツールがダウンロードされる仕組みを無償で提供している。これらのサイトは、万一のために覚えておいて損はないだろう。
「大阪急性期・総合医療センター」が感染したとされる「フォボス」に関してもデータ復旧を専門とする「Digital Recovery Group」の一部門である米国に拠点をおく「RansomHunter」という会社が、無料で初期診断を行い、データが復旧できた場合にのみ報酬を受け取るという条件で「フォボス」によって暗号化されたファイルの復旧を行うとしている。
「データ復旧会社」の知られざる術
ランサムウェアに感染した企業に復旧を手助けする企業は日本国内でも出現している。海外の例を見てみるとそれらの企業の主な役割は、身代金を要求してきたハッカーとの身代金の減額交渉である。
ハッカーとの会話は通常メッセージアプリ「Telegram」などを介して行われるが、警戒心が強いハッカーは相手が捜査当局かどうか見極める必要があることから慎重になるため、それなりの経験がなければ交渉にまで持ち込めない。身代金額が数十億円だったものが、数百万円になった例もあり、それなりに存在意義のある会社もあるようだ。
ちなみにハッカーは、「身代金を支払わなければデータを晒すぞ」と脅すのだが、身代金を支払おうが支払うまいが、手に入れたデータは、闇のルートで売り捌かれるのが常套だ。それらのデータは、外国人データベースを作成しているといわれる某国が、好んで買い取っているとの見方がある。
データ復旧サービスとしてハッカーとの交渉を全面に出している企業は、まだ良心的といえるかも知れない。中には「自社で研究・開発したデータ復旧ツールを使って復旧した」と称して、実はハッカーとの交渉で暗号を複号化するための複号鍵を入手して、復号しているケースもあるようだ。脅迫されている企業からすればデータ復旧会社への技術支援料ということで支払っているのであって、「決して身代金の支払いではない」とすることができ、反社会的行為だとの批判を回避できることことから、こうした企業の需要も多いようだ。