アメリカのユタ大学がランサムウェア攻撃を受け、身代金を払ったことがニュースになっています。

pc.watch.impress.co.jp

大学の公式な声明はこちらですね。

University of Utah update on data security incident | @theU

攻撃を受けたのは7月19日のことですが、社会行動科学部のサーバーが被害を受け、サーバー上の0.02%に影響があったということです。

この0.02%には従業員と学生の情報が含まれています。

この暗号化されたデータについてはバックアップから復元を行ったとのこと。つまり、身代金を払って復号化したわけではなく、自力でバックアップから復元し、システムを復旧させたということです。

ただ、これで終わりということではなく、攻撃を受けたデータの流出の恐れもあります。

最近攻撃が増えている二重の脅迫というやつです。これはIPAからも注意喚起されています。

【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について：IPA 独立行政法人 情報処理推進機構

要するに、データを暗号化すると同時にデータを盗み出しておいて、「データを公開するぞ！」と脅して身代金を要求する、という悪質な手口ですね。

ユタ大学で二重の脅迫の連絡があったのかは言及されていませんが、身代金を払わなかったらデータ公開、もしくは売買によるデータ流出なども想定されます。

そのため、結果的にデータ流出を防ぐために約46万ドル(約4,900万円)を攻撃者に支払ったということです。

ユタ大学はサイバー保険に加入していたので、サイバー保険と足りない部分は大学が支払ったとのこと。

支払わなかったらどうなるか、ということですが、2020年春にランサムウェア攻撃を受けたミシガン州立大学は身代金の支払いを無視した結果、ダークウェブ上でデータがダウンロードできるようになりました。

まぎれもないデータ流出ですね。このような事例からも、ユタ大学は身代金を支払わざるをえない状況だったのでしょう。

なお、ユタ大学はシステム上の脆弱性の修正はすでに実施しており、さらに分散しているシステムの統合を進めてサイバー攻撃へのリスク低減を進めているということです。