2017年6月10日、韓国のレンタルサーバー事業者「NAYANA」の利用者向け掲示板に、衝撃的な告知が掲載されました。同社が貸し出していた全サーバーがランサムウエアに感染し、利用者のデータが使えなくなったというものです(図1)。同社のサービスを利用する企業は数千社ありました。報道によれば、通販サイトによく使われていたそうです。

図1●ランサムウエアの被害に遭った韓国レンタルサーバー「NAYANA」
図1●ランサムウエアの被害に遭った韓国レンタルサーバー「NAYANA」
NAYANAは2017年6月10日、同社が運用するすべてのレンタルサーバーがランサムウエアに感染したことを利用者に明らかにした。データをバックアップしていたが、バックアップを使った復旧ができないといった内容が含まれる。
[画像のクリックで拡大表示]

 NAYANAは、利用者のデータのバックアップを取っていました。ところが告知には、バックアップを使った復旧ができないと書かれています。NAYANAはどんな攻撃を受けたのでしょうか。調べてみました。

攻撃者と身代金の値引き交渉

 NAYANAは利用者に向けて、攻撃による被害やサーバーの復旧状況などを、事細かに報告しています。報告回数は、2017年7月10日時点で15回です。その主な内容を、図2にまとめました。

図2●NAYANAのCustomer Centerで公開された攻撃者とのやり取りと復旧状況
図2●NAYANAのCustomer Centerで公開された攻撃者とのやり取りと復旧状況
Customer Centerでは2017年7月10日までに第15報までの情報提供が行われている。
[画像のクリックで拡大表示]

 公開情報によると、暗号化されたサーバーは全部で153台。サーバー1台のデータを復号するための暗号鍵(復号鍵)を受け取るのに、攻撃者から当初10BTCを要求されていました。BTCは、仮想通貨ビットコインの単位です。当時、10BTCは日本円で約320万円に相当しました。

 この“身代金”に対して同社は、攻撃者と値引き交渉をしています。6月11日時点でサーバー1台当たり5.4BTCに、6月12日時点で総額550BTC、現地通貨で約18億ウォンになったと報告しています。

 NAYANAが公開した情報には、同社が身代金を支払うために金策に奔走する様子も赤裸々に語られています。例えば社長が個人名で、「手元にある現金が4億ウォン、会社の持ち株をすべて手放しても合計で12億ウォンにしかならない」と公表しています。最終的に13億ウォン(約1億3000万円)で決着しています。