身代金12億円が世界最大の食肉加工業者・JBSからランサムウェア攻撃者に支払われたことが判明

ランサムウェアによる攻撃で一時操業を停止していた世界最大手の食肉加工業者・JBSが2021年6月9日に、攻撃者に対して1100万ドル(約12億500万円)の身代金を支払ったと発表しました。

JBS USA Cyberattack Media Statement - June 9 — JBS Foods
https://jbsfoodsgroup.com/articles/jbs-usa-cyberattack-media-statement-june-9

JBS Paid $11 Million to Resolve Ransomware Attack - WSJ
https://www.wsj.com/articles/jbs-paid-11-million-to-resolve-ransomware-attack-11623280781

JBSは5月31日に、ロシアのサイバー犯罪組織・REvilによるものとみられるランサムウェア攻撃により、北米やオーストラリアなどの食肉工場の大部分が操業を停止したと発表しました。JBSの工場は、6月1日から部分的に復旧し3日までに完全に再稼働しました。JBS USAのアンドレ・ノゲイラCEOは6月1日の声明で「当社にはこの手の問題に対処するためのサイバーセキュリティ計画があり、それらの計画を成功裏に遂行しているところです」とコメントしていました。

世界最大の食肉業者JBSがランサムウェア攻撃を受けアメリカの全牛肉工場が操業停止、復旧の見通しが立つも影響は甚大 - GIGAZINE

しかし、6月9日になってJBSは「当社に対する犯罪的なハッキングに対し、1100万ドル相当の身代金を支払いました。支払った時点で、当社の施設の大部分は復旧していましたが、社内のIT専門家および第三者のサイバーセキュリティ専門家と協議の上、攻撃に関連した不測の事態を防ぎ、データの流出を回避するため今回の決断を下しました」と発表しました。

JBSによると、同社はシステムの冗長化とバックアップサーバーにより、比較的早い段階で自力での復旧にこぎつけていたとのこと。しかし、ハッカーのさらなる攻撃により顧客や従業員のデータが危険にさらされるリスクがあるため、やむなく身代金の要求に応じたと同社は説明しています。

身代金を支払ったことについて、ノゲイラCEOは発表声明の中で「この決断は、当社にとっても私個人にとっても、大変難しい決断でした。しかし、お客様に被害が及ぶリスクを回避するには、このような決断をしなければならないと考えました」と述べました。

インフラや食料、医療などを担う企業を標的としたランサムウェア攻撃は近年急増しており、2021年5月にはアメリカ最大の石油輸送パイプラインを運営するColonial Pipelineが、ランサムウェア攻撃により一時操業停止に追い込まれました。この件でColonial Pipelineは、4億8000万円相当の身代金を支払いましたが、のちにFBIが約半分に当たる2億3000万円を押収しています。

アメリカ最大の石油パイプラインがランサムウェア攻撃で停止、バイデン政権は緊急事態を宣言 - GIGAZINE

FBIは、ランサムウェア攻撃に対して身代金を支払うべきではないとしています。一方、この件を報じたウォール・ストリート・ジャーナルによると、バイデン政権の高官は「企業にとって身代金を支払わないという決断は難しい」と述べて、身代金の支払いに対して一定の理解を示しているとのこと。

ランサムウェアの攻撃者に身代金を支払うことの是非については、政府と捜査機関の間でも議論が分かれていることから、今後も被害を受けた企業は難しい判断を迫られると見られています。