併発する問題たち　世論の反応、保険会社の対応力……

辻氏：あと、日本では身代金を払うこと自体を“たたく”文化があるじゃないですか？　逆に言うと「払わなかったところは素晴らしい、英断だ」みたいな。病院とか命にかかるところは払ってもいいっていう意見はありますが。 　ただ、医療業界に限らず、普通の人だって攻撃により生活が奪われる可能性があるじゃないですか。ランサム被害によって出た損害の影響が人件費に出て、最悪の場合、契約が解除されてしまったり。その人やその家族の生活を奪いかねません。だから、僕はどっちも一緒だと思っているんです。それをたたき過ぎると、結局こっそり払う、迂回して支払うという事態になりかねない。 　“迂回”の中には、ベンダー経由で身代金を支払うことも込みの「復旧費」として、ベンダーが金銭を要求するケースもあるようです。復号するためのツールが提供されてない段階だったら30万円と言われ一旦断ったそうなのですが、しかし、それがリリースされた後に5万円でどうですか？　という連絡が来たらしいんですよ。このケースでは結局攻撃者にお金が渡ってしまうんですね。しかし、ここに対する規制はない。 北條氏：被害を受けて復旧を依頼する側が身代金の支払いを了承していないのに、復旧事業者にだまされて勝手に支払われたのであれば詐欺の可能性がありますね。他方、だまされていなければ依頼企業も了承して身代金を支払っていることになります。前者でなければ復旧事業者と依頼企業との間で犯罪は成立しないので、何が問題になるか、ということになりますね。 　例えば、被害を受けて復旧を依頼する企業がサイバー保険に加入していて「身代金は補填しない」と約款に記載されているにもかかわらず、身代金を支払った金額も含めて「復旧費」として請求し、保険金が支払われてしまうと、被害を受けた企業と復旧事業者とが一緒に保険会社をだましている可能性があるという問題もあります。 　本来であれば、どういう形で復旧したのかを保険会社がチェックすべきだと思いますが、多分そこまで手が回ってないか、チェックする機能がないか、約款に反する復旧方法があるという発想がないのかもしれません。そのあたりが謎のまま、明確にならず保険金が支払われて終わっちゃっているかもしれないですね。 辻氏：セキュリティベンダーによるランサム事案に関するレポートがさまざまなところからリリースされていますが、それが結果的に攻撃者に利する行為になったこともあります。 　ロシアで実刑判決を受けたメンバーがいた「REvil」というランサムギャングは、あるセキュリティベンダーのレポートを引用して「セキュリティベンダーのレポートでも、われわれに身代金を支払えば100％戻るというお墨付きがある」と利用されてしまった。なかなか難しいです。