身代金を要求されたときに備える企業が増加

──いまランサムウエア攻撃について関係者の間で大きな話題になっていることの1つに、ランサム（身代金）を支払うかどうかがある。 山岡　ランサムウエアの身代金を支払うことの適法性が問題になります。アメリカの場合は、財務省外国資産管理局が重要です。日本では、現在のところ外為法規制も関わってくる。いずれにも共通するのは、そこに列記された集団に対して身代金を払ってはいけないということです。 仮に支払うことが法律に抵触しないとして、次に問題となるのは支払いをするかどうかですが、テロや戦争に資金が流れる危険があるため反社会的勢力に金銭的な価値を提供するのは望ましくありません。 ただ、懸念しているのは、現状ここで議論が止まっていることです。これまでどちらかと言うと、「身代金を支払うことはけしからん、議論すること自体あり得ない」という感じで、身代金を支払うかどうかについて議論することも憚られる状況でした。 しかしながらが、身代金の支払い関する受け止め方は少しずつ変わりつつある印象です。米パロアルト社の調査結果によると、身代金について10％が「支払いはやむを得ない」、49%が「その状況にならないと分からない」という回答でした。 そのためか、ランサムウエア攻撃を受けて身代金を要求されたときに備え、どう対応すべきかを検討する企業が増えてきました。事業継続に関わるリスクである以上、少なからず平時から議論しておこうという変化を感じます。 大原則として身代金は支払わないとした上で、仮に支払わざるを得ない場合があるとしたらどういう場合か、人命が関わる場合か、社会インフラが停止する場合か、基幹システムが停止する場合か、そして支払わざるを得ない場合は捜査当局とどのように連携すべきか、といった点が議論されるようになってきました。 中谷　インシデントが発生した際には、企業は個人情報の漏洩があったかどうかに関係なく、攻撃に起因する被害についてまず政府に報告するというのが大前提ではないでしょうか。アメリカのように、この報告については義務化したほうがいいでしょう。特定のテロリスト集団に身代金を支払うのは法律上NGですが、LockBit等のサイバー犯罪集団に身代金を支払うかどうかは、支払わないで解決する方法を考えることを前提に経営判断、事業継続の問題として考えることが重要です。 大事なのは、同じ被害の発生を防止するために、サイバー攻撃の被害にあった企業が攻撃者とのコミュニケーションを被害者として捜査当局に共有して、犯人逮捕に向けて協力をすることです。アメリカでは身代金を支払う企業は少なくないと言われますが、捜査機関等関係当局に報告をしていると聞いています。ただし、考慮すべきは、一度身代金を支払うとサイバー攻撃者の間で流通しているいわゆる顧客リストに載ってしまい、他の犯罪組織集団に情報共有され、何度もサイバー攻撃を受ける危険性はあります。 山岡　万が一支払わざるを得ない場合に黙って支払いをすると、さらに犯罪を助長する可能性があります。例えば、ハッカーに支払いをするために外部のエージェントに依頼する。すると、そのエージェントとハッカーがつながっていたりするケースもある。そういう意味でも、警察と情報を共有して連携することは非常に重要です。 中谷：まさに、その通りだと思います。企業にとっては社会的価値が問われる場面ではないかと。犯罪者に身代金を渡すというのは本質的には反倫理的なことです。それゆえ、経済的価値と社会的価値を比較考慮した上で、事業の中断という企業の存続や医療上の人命に関わるものであり、緊急避難として支払いをするという判断を攻撃者とのやり取り情報を含めて事前に捜査当局に共有すれば、将来の同種事案の対策に資することになるので、多くの人から理解を得られるのではないでしょうか。 ──いま日本ではアクティブ・サイバー・ディフェンス（能動的サイバー防御＝ACD）の議論が深まってきており、石破茂政権も法案を国会提出に向けて作業を加速するよう指示している。ACDをどう見ているか。 中谷　まず、ACDの前提となる日本のサイバー空間に入ってくるパケット（データ）監視は「サイバー空間の国境管理」と見るべきだと思います。人が入国する際にはパスポートチェックがある、モノが到着するときには税関、検疫がある。海外からの送金でも日本の銀行がチェックする体制があります。ところが国外から来るパケットには悪意があるものが多数あるにもかかわらず、ノーチェックで自由に日本のサイバー空間に入ってくるのが現状ではないでしょうか。 海外から来るパケットは他の主要国並みにチェックし、悪意あるものを見つけましょう。パケット攻撃が国内に着弾したら、どこから来たのか後からトレースできるような体制を整備しましょう。そして、どこから来るのかが分かる場合には、事前に対策を立てて防御できるようにしましょう、ということだと思います。また、日本から海外に出ていくパケット監視も同様に考えられると思います。 山岡　ACDの議論が始まったことによる副次的効果は感じています。各種メディアで、国がサイバー防御やサイバーセキュリティーを議論しているという報道が増えたため、経営層の意識は向上したと思います。サイバーセキュリティーについて国レベルでいかに取り組むのか、民間企業として何をすべきなのか、自分たちとして何を考えるべきなのかといったきっかけは、この1年で加速したと思います。 ＜中谷 昇＞ NEC 執行役 Corporate EVP 兼 Chief Security Officer 1993年警察庁入庁後、インターポール（国際刑事警察機構本部）で、ITシステム局長兼CISO、INTERPOL Global Complex for Innovation初代総局長(2012)を歴任。2019年警察庁退官後、ヤフー執行役員やZホールディングス常務執行役員Chief Trust& Safety Officerを経て。2024年5月から現職。 ＜山岡裕明＞ 弁護士 八雲法律事務所　弁護士（日本・カリフォルニア州）。University of California, Berkeley, School of Information修了。内閣サイバーセキュリティセンター（NISC） タスクフォース構成員（2019～20、21～22）。「サイバー安全保障分野での対応能力の向上に向けた有識者会議」構成員（2024）。