パスワードを忘れた? アカウント作成
21556875 story
お金

ランサムウェアの被害を止めるには身代金支払いを禁止するしかないとの主張 62

ストーリー by headless
禁止 部門より
ランサムウェアの被害を止めるには身代金支払いを世界的に禁ずるしかないと Emsisoft が主張している (Emsisoft のブログ記事The Register の記事)。

ランサムウェアは身代金収入を目的としているため、収入が得られなくなれば攻撃も止まるというのがその理由だ。被害者に身代金支払いを禁ずることで短期的には問題が起きるものの、長期的には問題が解消していくという。また、資金源を断つことで攻撃規模の拡大や新たなゼロデイ購入といった投資もできなくなり、規模が縮小していくとのこと。身代金支払い禁止が効果を示した例として、公的機関による身代金支払いを禁じた米ノースカロライナ州とフロリダ州を挙げ、壊滅的なデータ消失や異常に長いダウンタイムを経験した機関はないと主張する。

ただし、州単位で特定の組織にのみ身代金支払いを禁じた場合は、容易なターゲットに流れているだけの可能性もある。The Registerでは、全面的に身代金支払いを禁じるとしても重要なインフラストラクチャーや医療機関などには例外を設けることになるだろうとして、これらをターゲットにした攻撃が増加する可能性を指摘する。Palo Alto Networks のサム・ルービン氏によれば、被害者にならないための積極的な対策を行うことが最大の防御になるとのこと (The Register の記事 [2])。

ランサムウェア被害時の身代金支払いについて、スラドの皆さんのご意見はいかがだろうか。
  • 被害者が身代金を支払うことを禁止することができるのなら、
    加害者が身代金を請求することを禁止したほうが早くね?
    支払い禁止の命令を聞きそうな行政機関の場合かな?と思ったけど、
    世界的全面的って書いてあるからなあ。

    使う時以外はオフラインのバックアップを作るだけじゃね?

    ここに返信
    • by Anonymous Coward on 2024年01月08日 15時50分 (#4590421)

      被害者は法に服するから禁止できるけど、どこにいるのかわからない加害者を禁止することは実質不可能

    • by nim (10479) on 2024年01月08日 20時36分 (#4590557)

      > 加害者が身代金を請求することを禁止したほうが早くね?

      それが通用するんなら、そもそも犯罪を禁止すれば問題解決しちゃう。
      っていうか、身代金の要求はたいていすでに禁止されてるんじゃないの。

    • by Anonymous Coward on 2024年01月08日 21時32分 (#4590575)

      たとえばここだって基本的に荒らしはスルーだろ
      「不愉快なコメントを書くな」と言われて止めるのは
      もともと自覚のない読点おじさんくらいだけど、
      いくら書いても誰もレスくれずに淡々と-1にされ続けたら
      どんなアホでもいつか自分の行動が無意味と気付いて飽きる

    • by Anonymous Coward

      ??
      キミは一体なにを言っているんだ?

      え? 理系脳拗らせるとこんな意味不明な理屈ひねり出すようになるの!?

    • by Anonymous Coward

      情報資産を人質にして金銭を要求することが今も合法だと思ってるの?本気か???

  • by Anonymous Coward on 2024年01月08日 16時20分 (#4590431)

    上場企業はコンプラがしっかりしているので、身代金を支払うなんてできないと思っている人も多いかもしれませんが、
    実際には、データ復旧会社などにデータ復旧費用として支払い、データ復旧会社がその費用から身代金を支払っているケースが多々あります。
    ランサムウェアを使用した犯罪を行っているグループとデータ復旧会社の間では、「このグループはお金を払えば暗号鍵をくれる」などといった信頼関係が出来上がっていたりします。

    上場企業などコンプラが表向きしっかりしている企業 → システム管理会社 → データ復旧会社(非上場の中小企業) → ランサムウェアを使っている犯罪者

    といったお金の流れが出来上がっているのです。

    データ復旧会社がランサムウェアを使用した犯罪者にお金を支払うことを、組織犯罪として罰するべきだと思います。

    ここに返信
    • by Anonymous Coward

      それを罰すると世の中のありとあらゆる保険商品も禁止しないといけなくなってリスク取る奴がいなくなるよ
      9割の人間が損するから株やFX取引禁止しろって言ってる人と同じですね

    • by Anonymous Coward

      金が「反社会的団体」に流れてることが明確なら、データ復旧会社をお縄にすることはできそうだが。

      まがりなりにも「会社」を名乗ってるなら、金の出入りは明確にしてなきゃダメでしょ?
      最悪の場合「まともに金管理をしてない会社を名乗る団体」に金を払った被害者まで罪が及びそうな気も。

      • by Anonymous Coward

        データの身代金、という名目で、マネロンできるってことか

        • by Anonymous Coward

          これってどこまでが妄想? どこまでが裏取れてる話なの?

          • by Anonymous Coward

            企業のプレスからも分かる話ですね
            ランサムウェアに感染してバックアップも含めて暗号化されたとして感染ランサムウェア名が公開された後、データ復旧会社によって復旧されるのパターン
            当該ランサムウェアが暗号化して空き領域を0埋めするようなシンプルなプログラムだったら復旧できるわけがないので
            ランサムウェア提供者から暗号キーを買った以外の可能性は考えられない

            • by Anonymous Coward

              暗号の実装に穴があればその限りでは無い
              ・鍵の生成ルールが脆弱
              ・鍵の保護方法が不適切
              ・鍵を保護する鍵が既知
              なパターンはありうる
              身代金の有効性の証明中に必要以上の鍵が得られた場合もイケる
              公開鍵暗号や電子署名を正しく理解されていれば起きない事だけどね

            • by Anonymous Coward

              なんだただの妄想か。

            • by Anonymous Coward

              某病院の報告書見てると病院とは知らなかったすまんかったって暗号キーくれたとかあったけど。
              どこまでほんとか知らんが可能性で言えば無くはないわけで。

      • by Anonymous Coward

        帳簿上は経費やなんやらで別途プールしておいた金が使われる。
        当然入金する際には会社として動くことはない。
        なのでデータ復旧業者が〜ってことにはならないし被害者まで罪が及びそうな気も〜ってことにはならない。

    • by Anonymous Coward

      弁護士がやっていることと同じなんだよなぁ…。
      コンプラで×でも法解釈でねじ込めるなら裁判所へGO!ってことで、黒を白に白を黒にするのが法律で。

      自分たちの企業倫理では認められないから専門家にお願いする。
      →専門家がどの様にやったのかは知らないけど問題が解決した。
      →自分たちは専門家に対して委任契約に基づいて費用を支払った。

      これをデータ解析を専門とする業者にお願いした。(表書きにも登記簿上にも反社とのつながりの記載は無い)
      に置き換えても同じとなっているのが現実で止めようがない。

  • タイトルの通り
    国内生産・国内消費で生きていけた江戸時代。明治以降に完全に開国、徐々に貧富の差が開き。
    第二次戦前・戦中・戦後は、海外との貿易・物流で首を絞められるように。
    地産・地消これで十分なんだよきっと。

    ここに返信
  • by Anonymous Coward on 2024年01月08日 15時38分 (#4590415)

    愉快犯は減らなさそう。
    また、パチンコみたいに、他の方法で支払うようになるだけかも。

    ここに返信
  • by Anonymous Coward on 2024年01月08日 15時44分 (#4590419)
    身代金の要求には応じない、テロリストとの交渉に応じたら彼らは今後何度でもそれをビジネスにするから、が大原則だけど
    実際にはみんなテロリストに金払って人質返してもらってるわけで
    ここに返信
    • by Anonymous Coward

      あの地域は当局が人質もろとも銃で吹き飛ばしにくると知れば、戦闘員もゼロコストじゃないので、よそにいってくれやすくなる…のかも

    • by Anonymous Coward

      とは言え程度問題ってのもあるからな。
      人間の生命と企業のITシステム、一般的には前者の方が重いことになってるし。

  • セキュリティパッチはすぐに当てることを法で義務付けることも有効な気がする。
    義務付けられたら、当てたことによる障害は仕方ないとなるから、迷うことがない。

    ここに返信
    • by Anonymous Coward

      ゼロデイ攻撃は防げないし、最近の事例では標的型攻撃が多いのでどこまで効果があるのやら。

    • by Anonymous Coward

      UIデザイナーの改悪オナニーに対応したくないから更新しない人は世の中に沢山いる

    • by Anonymous Coward

      一番手を嫌がるのはどこの国も同じです。
      あてたことによる障害は仕方ないなんて無責任な事言っている段階でお子ちゃま過ぎます。
      そもそも金になる攻撃対象であればあるほど影響がデカいものだからな。

    • by Anonymous Coward

      労働基準法すら守る気がない連中がそんなもん守るわけもなし

  • by Anonymous Coward on 2024年01月08日 18時07分 (#4590483)

    あらゆる取引において、電子署名付の請求書でなければ支払いできないようにする。

    ここに返信
    • by Anonymous Coward

      あのう・・・うちは適格請求書発行事業者じゃないので

    • by Anonymous Coward

      SSLでもおk?

  • by Anonymous Coward on 2024年01月08日 19時15分 (#4590520)

    身代金の支払額に重税を掛けて、支払わない動機付けを高める。

    企業の危機意識を煽ると同時に、セキュリティ投資の経済合理性を高める効果を期待する。
    ランサムウェア犯罪者は、企業の判断を考慮し本来の身代金設定額に割引を促す効果もあるかもしれない。

    ここに返信
    • by k-se (22143) on 2024年01月09日 11時15分 (#4590715) 日記

      身代金支払ったら同額の罰金を課すとか

      公的な機関から金を取られると思ったら、
      慌ててセキュリティ対策真面目に取り組むようになる人たちもいるのでは

      支払いを止めるのが目的ではなく
      セキュリティ対策、意識をアップさせるのを目的にしたい

    • by Anonymous Coward

      帳簿に「身代金」なんて書くかな?

  • by Anonymous Coward on 2024年01月08日 19時17分 (#4590523)

    支払う行為を禁止せずとも、安全な金の受け渡しを困難にして捕まえればいい。
    大義名分は環境問題とかで。

    暗号資産バブルは弾けるだろうけど。

    ここに返信
    • by Anonymous Coward

      犯罪者はその時普及してる便利な決済手段を使ってるに過ぎないわけで、かつてのウェブマネーやアマゾンギフト券に戻るだけで何も解決しないんだが

  • by Anonymous Coward on 2024年01月08日 19時51分 (#4590538)

    WindowsにはBitLockerとかいうupdateで発動する
    ”正規ユーザーによる記憶領域へのアクセスを妨害する”という潜在的な脅威が存在しているわけで
    あれもランサムウェアとして認定していただけないでしょうか?

    ここに返信
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...