「KADOKAWA VS. NewsPicks」騒動に 犯人と交渉中の暴露報道は“正しい”ことなのか
身代金を巡る選択肢が制限される
そもそも公益性とは言っても、まだ「サイバー人質事件」の犯人と交渉が続いているタイミングだということを取材者として知っていれば、その交渉の中身を詳細に暴露することで、交渉を続けている企業側の選択肢を大きく制限することになるのは容易に想像がつく。 企業からすると、政府や警察が身代金を支払わないよう指導する日本で、身代金を払って問題を解決しようとすれば社会的なプレッシャーがのしかかることになる。上場企業であることを考えると、株価などにも影響を及ぼすため、できれば企業内の問題はまず内部で最善と思われる対策をして、その結果を判断してほしいと考えるのが自然ではないだろうか。 だがその交渉内容が途中で暴露されれば、株主などから突き上げが来たり、親会社や関係企業からの横やりが入ったりする可能性もある。そうなると、復旧がスローダウンしてしまうこともあり得るだろう。 忘れてはいけないのが、ランサムウェアの身代金を支払うのは違法ではないことだ。例外として、外為法で制裁対象になっている北朝鮮のサイバー攻撃集団の場合は支払うと違法になる。ただ、北朝鮮のサイバー攻撃グループがランサムウェア攻撃をすることは、最近ではそう多くない。 日本の政府も警察も、企業からランサムウェア被害の報告を受けると、身代金の要求があったか否かを確認して、要求があれば支払いをしないように指導する。ただそれは義務でもないし、法律で定められているわけでもない。 事実、日本でもランサムウェア被害を受けて身代金を支払っているケースがある。なぜなら、支払うことで暗号化されてしまったシステムを元通りにできる可能性があるため、被害を受けたシステムを全て入れ替える莫大なコストを避けられるからだ。 もっとも、身代金を支払っても、元通りに復旧できる保証はない。さらに、一度支払うとまた同じ攻撃者が足元を見て追加の支払いを要求する場合もある。 一部の専門家が、一度身代金を支払うと、他のサイバー犯罪者に情報が回って、再び別のランサムウェア犯罪者の被害に遭うかもしれないと指摘しているが、その可能性は低い。なぜなら被害に遭った企業はセキュリティを強化してシステムを頑丈にする可能性が高いからだ。過去に、同じ企業が別のランサムウェア犯罪者の攻撃を受けたというケースは、筆者の知る限りは聞いたことがない。