こさろぐ

岡山のエンジニア雑記

ミシガン州立大学はランサムウェア攻撃を受けて身代金を払わなかった

ランサムウェア被害の対応について特徴的な事例として、ミシガン州立大学の事例が挙げられます。

ミシガン州立大学は2020年5月にNetWalkerによるランサムウェア攻撃を受けました。

NetWalkerは2019年8月に初めて確認されましたが、McAfeeによると2020年3月から5カ月の間に2500万ドル(約27億円)の被害を与えている、ここ数カ月で目を見張るほど急伸しているランサムウェアです。

わずか5カ月で総額27億円をゆすり取ったランサムウェア「NetWalker」の被害が拡大 - GIGAZINE

ミシガン州立大学NetWalkerのグループにより攻撃を受け、ダークウェブに一部の情報(ディレクトリ構造、学生のパスポート、財務書類)が公開され、身代金の要求に応じない場合は全ての情報を公開されると脅されていたとのことです。

が、MSU Todayによると、侵入され影響を受けたのは物理学部と天文学部であり、連邦当局のアドバイスに従い、身代金の支払いを拒否したとのことです。

MSU provides update on IT-based intrusion | MSUToday | Michigan State University

ユタ大学ではランサムウェア攻撃の結果4900万ドルを支払った例がありましたが、ミシガン州立大学では支払いを拒否したんですね。

支払わなかった理由についてですが、MSU(ミシガン州立大学)警察トップのケリー・ルーデブッシュが次のように述べています。(一部意訳)

サイバー攻撃身代金を支払うことはこれらの犯罪が永遠に続いていくことを助長し、犯罪グループがさらに別の犠牲者を発生させる機会を提供してしまう。」

 おそらく影響が物理学部と天文学部の限定的な情報だったこともあったのでしょうが、結局身代金を支払ってしまうと攻撃グループの資金源になってしまい、別の被害者をさらに生み出してしまう可能性があります。(というか、その可能性が高いです)

情報流出も大学にとっては痛手ですが、その情報流出の痛手を差し引いてもNetWalkerグループへ資金が渡ってしまうことのリスクを避ける判断だったのでしょう。

日本ではなかなかされない判断かもしれませんが。。

流出した情報量・質によってはもしかしたら身代金を支払う判断もあったのかもしれません。

アメリカの大学を狙ったランサムウェア攻撃は増え続けています。

McAfeeによると、NetWalkerによるランサムウェア被害は今後も増え続けていくと予想されています。