アリかナシか、ランサム攻撃の身代金支払いと交渉 有識者たちの見解は……
交渉はすべきか否か、どう進めるべきか 想定しておくべき事態
北條氏:あとは、盗まれたデータをリークサイトにアップされないようにするために支払うという観点については、そもそも「支払いの有無に関係なくリークサイトにアップされない可能性や、アップされるデータは何なのか、どれぐらいの損害が生じるのか」を想定すべきかもしれません。 辻氏:それはありますね。どうしてもリークサイトへの掲載の取り下げについて交渉するのならば、まず窃取データを持っていることを証明させるべきです。公開情報ではなく、明らかに盗み出したと分かるデータを示せと。先日もすでに公開されているデータを元にした脅迫があったじゃないですか。 参考記事:ハッカー集団「盗んだデータをばらまくぞ」→もともと無料の公開データでした 国立遺伝学研究所でセキュリティ珍事 北條氏:窃取されたデータは何なのかを把握することは重要ですよね。あと、ランサムウェアに感染して、データを取られて、脅迫文も置かれているにもかかわらず、被害企業が完全に無視していると、ランサムウェアグループが次のターゲットに移行して、結局リークサイトにデータがアップされないケースもみられます。 こういった事例の存在を踏まえると、一度でも交渉することで、「こいつら(被害企業)は身代金を支払ってくれる可能性があるな。もっと脅してやろう」と思わせてしまうのでは、という疑問も出てきます。そうなると「一切交渉しない」ことが正しい選択ではないかと思うのですよね。 辻さんに聞きたいのですが、逆に「交渉したのに、身代金を支払わないから腹いせにリークしてやる」というようなパターンもあるんでしょうか。 辻氏:ありますね。 北條氏:やはりそうなんですね。一番多いのは何もしないでリークされるパターンだと思いますが、ほかに、何もしないでリークされないパターンと、交渉して腹いせにリークされるパターンもありますが、この2つだとどちらが多いのでしょうかね。おそらくそのような統計情報はないと思っているのですが、海外のセキュリティベンダーや弁護士らは、まずランサムウェアグループと交渉しなさい、と助言してきます。決裂してもいいからまず交渉すること。とにかく交渉すれば何らかの情報が得られるからと言いますね。 辻氏:(交渉によって)時間が稼げるっていうメリットもあります。 北條氏:それはありますね。窃取されたデータが何かを調べたり、リークサイトにアップされた場合のリリースを検討したり、取引先などに連絡したりする時間などが必要なこともあります。ただ、私としてはそもそも身代金の支払いを推奨しないし、支払わないならば一切交渉しないというのが基本的なアドバイスだと思っています。 辻氏:払うつもりが全くないのであれば、交渉はしない方がいいです。交渉を行った場合、盗んだ情報だけでなく、その時のチャットログも公開対象になるんです。場合によってはこれが致命傷になる。払うつもりはなく、相手から情報を引き出すためだけに交渉するのは、僕は良くないと思います。 北條氏:チャットログの公開について、犯人側と接触すること自体は、日本の法律に何か違反するかというと、違反するわけではありません。だから、仮にチャットログがリークされたとしても「接触はしたけど、払うつもりはなかった」って言えちゃうとは思います。 辻氏:(世間には)勘繰られますけどね(笑)。僕はやはり「払う気がないなら交渉するな」ですね。払う気があるなら、盗んだデータが本物なのか確認する価値はある。そして金額の交渉ですね。これまで見てきた中では、交渉すればほぼ身代金は下がるので。