攻撃者に「身代金」を支払うべきかどうか

──棚瀬課長はインターポールでの勤務経験もありますが、世界ではサイバー捜査で優れている国はどこでしょうか。 やはりアメリカは技術力も高く、リソースも大きい。アメリカは暗号資産の追跡に基づいて被疑者を特定するといったことに非常に長けています。暗号資産の追跡ツールを作っている会社などもアメリカにありますから。日本も暗号資産の追跡力は負けませんが。 また、法制度が異なるため、一概には言えないものの、イギリスも捜査力は高いです。ただ外国が一番の得意分野もあれば、日本が一番というところもある。例えば、デジタル・フォレンジックであれば、日本は自信を持って世界で一番だと自負しています。 また、犯罪捜査を精緻に進めるという実力という観点からも、精密司法といわれる日本の刑事司法制度の中で、日本警察が培ってきた公判に耐えうる証拠構造によって犯罪を立証するという、いわばデカの魂ともいえる部分、言い換えると、捜査員が靴を擦り減らして証拠を収集する営みとその着眼点（デジタルと比較すればアナログというか、地べたの捜査とでもいいますか、そうした捜査の発想）を日本のサイバー警察はサイバー空間の捜査に持ち込んでいるため、被疑者の足取りをサイバー空間上で追うということにも日本警察は非常に長けていると言えます。私は着任以来、そのような捜査力の底上げに注力してきたため、日本のサイバー警察が評価されることはとても嬉しいです。 ──ランサムウェアに話を戻しますが、今日本でも、ランサムウェア攻撃を受けた場合に、攻撃者から要求されるランサム（身代金）を支払うべきかどうかという議論がある。それについてはどう見ているか。 他国を見ると、身代金は支払ってはいけないという制度としている国があります。日本警察では、被害法人・組織の経営判断に関わる事柄であるので、身代金を支払えとも支払うなとも言いません。 他方で、私としては、企業の経営判断に関わる事柄である以上、企業の目線からは、身代金を支払うあるいは支払わないという経営判断の是非を決する拠り所が必要であるとの声があることを理解しないといけないと思っています。この点、今の私の立場からは、身代金を支払うと被害回復される確約もなければ、一度身代金を支払うと同一のランサムウェアグループ内のみならず、他のグループにもその事実が共有されるため、再度身代金を求められたり、別のランサムウェアのターゲットにされたりするリスクがあるということを申し上げることはできます。これを一つのアドバイスとしつつ、企業内で事前に、身代金を支払うか否かについて、コンセンサスを得ていただくのがよろしいのではないかと思います。 ──日本は世界でもランサムウェア攻撃の標的になっている上位国だ。サイバー警察局・サイバー特別捜査部の能力の高さを踏まえると、企業や組織は、警察に相談すれば身代金を払わずとも解決できる可能性はあるのか。 そのとおりです。被害に遭ったら、ぜひ警察に相談してほしいです。まず、暗号化されてしまったデータを復号できる可能性があります。また、どのランサムウェアグループによる犯行なのかを知ることができれば、その手法や次なる攻撃の有無、手口、対抗手段等のアドバイスもできます。 サイバー攻撃を受けた被害法人・組織は、セキュリティベンダーなどと一緒に対応に追われているでしょうから、その中で警察の捜査の都合を前面に出して被害法人・組織の足元の作業に悪影響を与えないよう気をつけるようにと相談を受ける警察の現場を指導しています。ですので、安心して相談してほしい。 寄せられた相談から得られた情報は、国際連携の枠組みを通じて、被疑者検挙にも役立てられることになります。こういった意味からも警察にご協力いただけると幸いです。 サイバー攻撃は世界中で起きています。私たちは犯行のデータを蓄積して、国際連携の中で各国がそれぞれのデータを持ち寄って、世界各国が一丸となって分析を行うことで、被疑者の特定やさらなる対策に活かそうと日々戦っています。 ＜棚瀬誠＞ 2000年、警察庁に入庁。総務省自治税務局や財務省主計局、法務省刑事局などの出向経験のほか、フランスのICPO（国際警察刑事機構＝インターポール）Head of Financial Crimes Unit、兵庫県警察刑事部長などを経て、12月10日現在、警察庁サイバー警察局サイバー捜査課長