アリかナシか、ランサム攻撃の身代金支払いと交渉 有識者たちの見解は……
昨今の被害状況を見れば分かる通り、サイバー攻撃、特にランサムウェアの脅威は、業種も企業規模も無関係にやってくるようになった。それに伴い、技術やシステム構成による防御だけでなく、人と組織の課題に目を向けることも重要になりつつある。 辻伸弘氏(左)と北條孝佳弁護士(右) 組織の力やセキュリティ統制の仕組み、加えて法の解釈や規制の理解も、セキュリティを形作る大事な要素だ。中でも関心が集まりやすいのは「身代金、支払うべきか、拒否するべきか」という課題だろう。 ポッドキャスト「セキュリティのアレ」のメンバー・辻伸弘氏と一緒に、セキュリティに携わる人たちを訪ね、その未来を語る本連載。第2弾となる今回は、この「身代金、支払うべきか、拒否するべきか」という課題に注目していこう。 今回の対談相手は元警察庁技官で弁護士。西村あさひ法律事務所・外国法共同事業のパートナーで、サイバーセキュリティ・インシデント対応の豊富な経験を持つ北條孝佳弁護士を招いた。法律のスペシャリストがセキュリティの視点を加え、「身代金支払い」「インシデント対応時の組織としての判断」「法律のこれからに感じる課題」を語る。その対談の様子を前後編でお届けしよう。
身代金、どこまで支払うべきか、拒否するべきか
──まず、日本の企業が対応に苦しんでいるランサム事案について触れていきたいと思います。脅迫に対する身代金の考え方について、お二人の意見は 辻氏:僕のスタンスは、2019年ごろの二重脅迫といわれるランサムウェアが登場したときから基本的には変わってなくて、身代金は基本的に支払わないに越したことはないが、支払わざるを得ない場合もあるんじゃないかと思っています。もちろん、バックアップはしておくべきとも言い続けていますが。 また、データを元に戻すための支払いに加えて、リークサイトに公開されるのを止めるための支払いというのもあり得ると思います。奪われたデータをきちんと消してもらうための身代金ではなく、リークサイトに掲載されないことを目的とした代金ですね。最近はリークサイトに掲載されたことをメディアも取り上げるじゃないですか。そこにみんながわーっと行ってダウンロードしてしまうと、ランサムギャングが奪ったデータであるという、中身の保証がある程度ついてしまう。 リークサイト掲載を取り下げることに対してお金を払うっていうのは、まあアリじゃないけど、ナシよりのアリみたいな。 北條氏:私も暗号化されてしまったデータのバックアップがない、あるいはバックアップも暗号化されてしまい、そのデータが復元できないと事業が立ち行かなくなるなどの場合には、データを復元するための支払いを否定するわけではありません。 ただし「何も考えずに取りあえず払っちゃえばいい」という発想はかなり問題があります。多額の身代金を支払ったのに、全てのデータを復元できなければ、暗号化されたデータに加え、支払った身代金も会社の損害になります。 まず、法的な問題の可能性についてです。ランサムウェア攻撃によって会社に損害が生じた場合、経営者らの責任として、誰が損害賠償を請求するかというと、日本国内の上場企業だと株主が挙げられます。これまでランサムウェア被害による訴えは起きていないと思いますが、株主が代表訴訟を提起して、身代金を支払ったことによって会社に生じた損害を経営者らは支払え、と請求することです。 非上場企業の場合でも株主は存在しますので、株主代表訴訟による経営者らへの責任追及はあり得ます。ただ、株主が創業者や経営陣しかいない場合も多く、その場合、責任追及はされないと思いますが、例えば当該企業に融資をしていて、ランサムウェア攻撃を受けて身代金を支払ったことを融資元が知ったら問題になるかもしれません。 銀行などの融資元が、ランサムウェア攻撃によって情報が暗号化されたから身代金を支払った事実を知った場合、もしかしたらその融資したお金を回収したり、追加の融資が見送られたりするかもしれません。非上場企業のうち中小企業が怖いのは、取引先からの契約打ち切りもありますが、融資元の方々がどういう見方をするかという視点もあるのではないでしょうか。 ただ、いずれの企業でも、経営者らへの責任追及の問題があるために“こっそり支払い”が生じる可能性があります。ランサムウェアの被害に遭って、経営者らが、「自分が責任を取らされるかもしれない」となった場合に頭をよぎることは、「身代金を支払えば、全てなかったことになるかもしれない」という考えです。まさにこの思考がランサムウェアグループの「思うつぼ」なのです。絶対に表に出ないよう情報統制をして、バレなければ良いと思い、実は支払っているパターンは意外と多いのではないかと思っています。 データが復元できずに身代金を支払った場合、一部の従業員は知ることになり、自分の会社は身代金を支払ったなどとSNSに投稿したり、誰かに伝えたりして、何らかのきっかけで表に出るかもしれません。身代金を支払ったのに暗号化されたデータの一部しか復元できない可能性もあります。 そうなった場合、多額の身代金を支払ったことや事業が停止したことによる損害に加え、事前の対策ができていなかったことが原因なのに隠蔽しようとしたとしてニュースなどで取り上げられて企業の評判という意味では相当のダメージがあると思います。 そうすると、理論的には前述した株主代表訴訟による責任追及とかもあり得ます。被害企業が身代金を支払いましたと大々的に公表することはおそらくないと思いますので、バレないことを前提にこっそり支払っている企業は複数あると思うんですよね。
