ランサムウェア攻撃の増加を受け、攻撃者との交渉を担う専門人材への需要が高まっている。Palo Alto NetworksやSophosなど大手セキュリティ企業では被害企業に代わって攻撃者と接触し、対応時間の確保や経営判断の支援、情報収集を担う「交渉人」の活用が広がっている。

英Financial Timesは4月5日（現地時間）、世界の大企業を狙ったサイバー攻撃の急増を背景に、ランサムウェア交渉人への依頼が増えていると報じた。報道は、事情に詳しい複数の関係者の話に基づくものだ。

Quorum Cyberでインシデント対応ディレクターを務めるダン・サウンダース氏によると、交渉人の役割は大きく3つある。復旧や対応のための時間を確保すること、経営陣の意思決定を支援すること、攻撃者の特定につながる情報を集めることだ。

同氏は「交渉に加わったからといって、必ずしも支払いが必要になるわけではない」と話している。

交渉人は、権限の低いIT担当者を装ったり、1日に1〜2件だけメッセージを送って交渉の進行を遅らせたりする手法を使う。Sophosの交渉担当者の1人は、「交渉というより、繊細な駆け引きに近い。失敗すれば依頼企業に深刻な損害を与えかねない」と述べた。

交渉期間は3日から3週間に及ぶ。やり取りにはダークウェブ上のポータルサイトのほか、電子メールや暗号化メッセンジャー「TOX.chat」などが使われるという。

Sophosによると、サイバー犯罪者は一般に、被害企業の売上高の1〜2%程度を要求する。交渉人は身代金の減額を図る一方、IPアドレスや暗号資産ウォレットを追跡し、相手の特定も進める。交渉人の多くは法執行機関の出身で、前職で培った追跡や分析の手法を生かしているという。

Digital Mintのドン・ワイパー氏は、「サイバー犯罪者は幼稚で未熟な振る舞いを見せることが多い」とした上で、「10代前半や20代前半であるケースが多い。身代金を受け取った後、感謝のメモとともにケーキを送ってきたハッカーもいた」と明かした。

専門家は、身代金を支払う前に、国際制裁に抵触しないかを法的に確認する必要があると強調する。法律事務所Clifford Chanceのパートナー、ジョナサン・キューリー氏は「制裁規定に違反しないかを確認するプロセスは、極めて複雑で厳格だ」と述べた。

また、たとえ身代金を支払っても、攻撃者が約束を守る保証はない。

Sophosのランサムウェアに関する報告書によると、2025年に身代金が支払われたサイバー攻撃の割合は5割を下回り、2024年の56%から低下した。専門交渉人の活用拡大に加え、データのバックアップなど予防策の普及も背景にあるとみられる。