米FBIは、パソコンのファイルを暗号化するランサムウェアの被害に遭った場合、速やかに身代金を支払うことを推奨しています。しかしITセキュリティ業界においては、こうした見解に真っ向から反対しています。そこで、実際に身代金を支払うという選択肢について、あらためて考えてみましょう。

FBI特別補佐官であるジョセフ・ボナヴォロンタ（Joseph Bonavolonta）氏は、ボストンで開催された「サイバーセキュリティサミット2015」に参加し、次のような自説を発表しました。「率直に言って、これまでしばしば身代金を支払うべきだとアドバイスしてきたのは、ランサムウェアに対してはそれが最善であると考えるからです」という彼の発言に、聴衆たちはあっと驚きました。

このようにFBIが推奨する方向性は、「身代金を支払うことを選択すべきではない」ということを信念とするITセキュリティ業界の立ち位置とは、はっきりとした違いがあるように思われます。

とはいえ、勘違いしないでほしいことは、身代金を支払ったことにより、被害者が暗号を解読する鍵を手に入れ、データを失うという莫大な損害を回避できる可能性が全くないわけではありません。

しかし、防止策として身代金を支払おうと考えるのは間違いです。身代金を要求するような人物は、なかなか一筋縄ではいきません。ランサムウェアの場合、身代金を支払ったとしても、ただビットコインを失うだけでなく暗号化されたファイルもそのまま、という事態に陥ってしまう可能性が高いと言わざるを得ません。

身代金を支払うことが好ましくないもう一つの理由は、ほとんどの場合、そのお金が今後のセキュリティ「対策」に有益な影響を与えるとは考えられないことです。この事例において「対策」というものは、インターネットユーザーが安全にふるまうという基本原則（システムにパッチを当てさせたり、必要なプログラムをインストールさせたりアップデートさせたりすることを含む）を守るとともに、データのバックアップや復元といったソリューションが実装されて、完全に機能していることを意味しています。身代金の支払いは、ランサムウェア攻撃の犠牲となることを避けるのに役立っていないばかりか、他の脅威（ウイルスから、スタッフの精神状態の異変、自然災害に至るまで）まで引き寄せてしまう恐れがあるのです。

ユーロポール（欧州刑事警察機構）は、インターネットにおける組織犯罪の脅威について検証するレポートの最新版において、ランサムウェアを最大の脅威と考えています。FBIでは、2014年4月から2015年6月の間に、ランサムウェアの中でもかなり頻度が高かった「クリプトウォール」（CryptoWall）に関する被害届をおよそ1,000件受け取り、損失額が1,800万ドル近くに上っていることを報告しています。さらに、2014年12月に行われたジョージタウン大学ローセンター主催のパネルディスカッション「ネット犯罪2020」によれば、ランサムウェアは今後ますます個人ユーザーを狙うと予測しています。

疑いなくランサムウェアの攻撃は増え続けており、今後もその勢いはやむことがないでしょう。しかしそれは、組織やユーザーが直面しているシステムやデータの脅威のごく一部にすぎません。これが、「少なくとも身代金は支払う」という考えが非常に好ましくない理由です。身代金を、セキュリティに支払う費用の特別形態と考えるべきではないのです。

忘れてはならないのは、ここに差し出された身代金500ドルは、単なる500ドルではないということです。失ってしまったもの、それはあなたのデータです。そして、顧客に対しては、信頼を失うでしょうし、もちろんコンプライアンス（法令遵守）の姿勢にも疑念が持たれます。いえ、まだほかにもあるかもしれません……。

そこで、あらためてあなたに質問をします。あなたは本当にサイバー犯罪者の言っていることをそのまま真に受けて素直に従いたいと思っているのでしょうか？

もしも「ノー」であれば、身代金の支払いを選択肢とするのはやめて、ITセキュリティやデータのバックアップなどの強化に力を入れるべきではないでしょうか。少なくとも被害に遭う前にするべきことは多々あるはずです。