ランサムウェア攻撃に対して身代金を払うことは、問題対処法としては過ちだ。テッククランチ誌によると、身代金を払う会社は複数回ねらわれるおそれがあるほか、機密データの流出懸念から解放されることもなく、顧客や取り引き先からの信用も失う。

▽身代金の支払いを拒否したMGMリゾーツの被害

MGMリゾーツが９月に壊滅的なランサムウェア攻撃を受け、傘下のベラージオやマンダレイ・ベイ、コスモポリタンといったラスベガスの象徴的なカジノ・ホテルの一部が大きな被害を被った。

それらのホテルでは、スロット・マシーンのほか電子決済やATM、有料駐車システムが機能不全を強いられ、宿泊客らはチェックインまで何時間も待たされることになった。 客室のカード・キーも使えなくなった。ハッカーらはさらに、MGMのサーバーから多数の顧客の個人情報も盗み出した。

MGMは、ハッカーらが要求した身代金の支払いを拒否した。 身代金の額は明らかになっていないが、同社が当局への提出書類で報告した攻撃被害額（失われた利益）１億ドルより少ないとみられる。

▽身代金を払ったシーザースはほとんど報道されず

MGMへのランサムウェア攻撃が何日間も大きく報じられたのに対し、同業のシーザース・エンターテインメントに対する少し前のランサムウェア攻撃はほとんどニュースになっていない。そのおもな理由は、シーザースがハッカーらに盗まれたデータの公開を阻止すべく、ハッカーらにお金を払ったからだ。

サイバー攻撃者たちにお金を払う会社は実際には多い。数百人のサイバーセキュリティー責任者を対象にスプランク（Splunk）が実施した調査によると、会社や団体らの約83%がランサムウェア攻撃後にハッカーらに身代金を払ったことを認め、半数以上がサイバー保険または第三者を通じて少なくとも10万ドルを払っていたことがわかった。

▽身代金を払っても解決しないデータ侵害

ランサムウェア攻撃を受けた場合、資金力のある会社にとっては、企業通信網や各種システムの復旧、盗難データを取り戻すことやそれらの公開阻止を迅速に確保するには、身代金を払うことがもっとも簡単で安価な選択肢であるように思える。

しかし、身代金を払ったからといって盗まれたデータが安全に戻ってくる保証や、すべての複製が消去されるという保証はない。

サイバー犯罪集団によって盗まれたデータは、身代金を払うかどうかに関係なく盗まれた時点で侵害されるため、データを削除したというハッカーらの言葉を信じることはできない。

▽シーザース、被害はないが信用失墜か

シーザースは、MGMのような被害を受けなかったが、秘密裏に身代金を払ったことで信頼を失った。同社は、顧客特典制度のデータベースの複製を盗んだハッカーらに身代金を払ったことを規制当局に認めたことがのちに判明した。そのデータベースには「相当数の会員」の運転免許証や社会保障番号が含まれる。

シーザースの顧客らは、自身の個人情報がハッカーらの手にわたって闇サイトで売買されている可能性を容易に想像できる。それと同時に、身代金を払って被害をなかったことにしようとした同社の意思決定に幻滅し、信用しなくなる顧客も相当数いると想像できる。

▽一度払えばまたねらわれる危険が高まる

ハッカーらに身代金を払うことにはさらなる危険がともなう。サイバーリーズン（Cybereason）の調査によると、身代金を払った被害会社らの80%は、その後もランサムウェア攻撃に見舞われ、２回目の攻撃を１ヵ月以内に受けたと答え、２回目の攻撃ではハッカーらがより高い身代金を要求してきたと回答した割り合いは68%にも上った。

身代金を払えば、その場をしのぐことはできるが、それは同時に、大ごとにしないためにお金を払う考えであることをハッカーらに教えるようなものだ。つまり、自身が金づるであることを表明するのと同じことだ。

▽拒否すれば再標的リスクは低まる

FBIの元捜査官で現在はグーグル・クラウドのCISO（chief information securityofficer）室長を務めるMK・パルモア氏は、「複数回のランサムウェア攻撃を受ける一因は、ハッカーらの目的を達成させていることにある」と指摘する。

「ハッカーらの報酬の道を断ち切れば、おそらく攻撃手段は少なくなり、再度ねらわれる確率は低くなる」とパルモア氏は話す。

要求に応じて身代金を払うことは違法ではない。しかし、身代金を払うことは、ランサムウェア犯罪組織らの活動維持を奨励するだけだ。FBIは会社らに対し、身代金を払わないようかねてから進言してきた。

▽身代金を払うことに法的責任の可能性も

その一方で、米政府が指定するランサムウェア犯罪組織に身代金を払ったことがわかれば、その会社は刑事責任も含めて法的責任を問われる可能性がある。

米財務省によると、制裁対象のハッキングおよびランサムウェア集団に身代金を払うことは米制裁法違反の可能性があり、刑事訴追につながる可能性もある。身代金を払うことは長期的には高くつく可能性が大きい。

（Gaean International Strategies, llc社提供）