ランサムウェア被害企業に追い打ちをかける報道機関
大手ゲーム会社がランサムウェアの被害にあい、機密情報公開を盗まれ、その機密情報を公開されたくなければ、身代金を支払えという脅迫を受けていることが分かり多くの報道機関が報道した。もちろん、著名な企業であるため、サイバー攻撃を受けた事実を報道することは仕方ない。
しかし、この大手ゲーム会社が、身代金支払いの要求に応じなかったため、サイバー攻撃者達は盗んだ情報をダークウェブ等に公開するという行動に出たところ、このサイバー攻撃者によって「不正に公開された」情報を取得し、「不正に公開された情報に何が含まれているか」を報道する報道機関が現れた。
こういった報道は、公益性がないどころか、サイバー攻撃者の身代金要求攻撃に加担するような行為であり、被害にあった企業をさらに追い込むような報道である。
■報道機関によるセカンドレイプ
性犯罪にはセカンドレイプという言葉がある。性犯罪を受けた被害者の氏名等が万が一報道されてしまったり、SNS等で暴露されるようなことがあると、被害者をいっそう苦しめることになる。このような性的二次被害をセカンドレイプと表現する。
今回のように、ランサムウェアの被害にあい、「この情報を公開されたくなかったら身代金を払え」と要求された被害企業が、その要求に応じなかったにも関わらず、報道機関が情報を入手して「このような情報が含まれていました」と公開する。さらに「公開した情報は一部だけだとして「データの流出や多額の訴訟費用などの損害を避けたければ、取引に応じろ」等と脅迫文を報道する。
これでは、犯罪者に立ち向かおうとした被害企業の努力を無駄にするばかりか、報道機関が拡声器となり「こんな情報を盗まれたのはココです!まだ公開されていない情報もあるみたいですよ!」と大声で叫び、本来被害者である企業の評判をより一層貶めることになる。このような行為は性犯罪におけるセカンドレイプと同じ行為ではないだろうか。
■ランサムウェア被害にあった企業は身代金を支払うべきか?
データを人質にとられ、「お金を払えば開放する」という脅迫がなされたら?多くの企業は「身代金を払った方が楽」と思う傾向にある。少し古いデータではあるが、トレンドマイクロの調査によれば、被害を受けた企業の3分の2が「身代金」を支払ったとある。
しかしながら、「身代金を支払うのは最終手段」と考えるべきである。なぜなら、相手は犯罪者であり「身代金」を支払ったとしても、「データを開放してくれる」とは限らない。これもトレンドマイクロの調査だが「身代金を支払った5社に1社はデータを取り戻せていない」という調査結果がある。
また、「仮にデータが開放された」としても、「なぜ、ランサムウェアに感染されたのか?」という根本原因が解決していないのであれば、第2、第3の被害にあい、その都度身代金を要求される可能性は大いにある。サイバー攻撃者から見れば「一度支払いに応じた企業はお得意様」となるからだ。
更に「開放されたデータ」が改ざんされていない保証は無いし、あるいはコピーをとられている可能性も否定出来ない。
「身代金」を支払う行為は、サイバー攻撃者達に「犯罪活動のための軍資金」を提供する行為であり、これに「屈しない」姿勢を見せた企業は、本来称賛されるべきであろう。
「身代金を支払わなかった企業が、要求に応えなければ、報道機関によって盗まれた情報の詳細を公開される」。これは被害企業にとって一番辛いことであり、サイバー攻撃者にとっては「非常に嬉しい宣伝」だ。報道機関がこのような報道を繰り返す限り「どうせ対抗しても、報道機関に報道される」ことをリスクと感じ、「身代金要求」に応じる企業が増加する懸念すら有る。「身代金要求」に応じる企業が増えれば、増えるほど犯罪組織の資金は潤沢になり、より高度な攻撃を仕掛けることも可能になってしまう。
報道機関は、自身の報道が犯罪組織を支援する報道となってはいないか?といった視点をもつ必要があるだろう。