#KADOKAWA #ランサムウェア の脅迫金は絶対に払うべきではない理由
KNNポール神田です。
KADOKAWAのシステム障害問題が長引いている。
サイバー攻撃で、大規模なシステム障害が発生し、子会社で、ニコニコ動画などを運営するドワンゴの全従業員の個人情報などが外部流出した事が明らかになっている大手出版社KADOKAWAは(2024年7月)2日、サイバー攻撃を行った組織について「当社グループの保有する情報をさらに流出させたと主張していることを確認いたしました」と発表した。
https://news.yahoo.co.jp/articles/ab6f5f20a6a1a1ebb699cb59aec87b9d00c695d0
今回のランサムウェアの脅迫に対してKADOKAWA側のコメントは下記の通りだ。
株式会社KADOKAWA 臨時グループポータルサイト
https://tp.kadokawa.co.jp/
報道やSNSの情報は、あくまでもKADOKAWAの当事者発信ではない情報である。
また、SNSで拡散されたようないかなる情報やダークウェブにアクセスしたり、ダウンロードすることにより、ウィルスやマルウェアによって二次被害が生まれる可能性も多大にある。むしろ、そこにアクセスすることによって犯罪に問われるリスクも発生する。
■脅迫金を支払うことは『KADOKAWA』にとってデメリットだらけ
2024年に7月1日に公開されるとされてきた『漏洩された情報』だが、本当に犯人側が『入手した情報』かどうかがわかるのは『KADOKAWA』だけである。
そして、違法手段でアクセスした犯人側の要求をのむということは、犯人側の『ビジネス』を助長するだけである。システムが復旧できない、ユーザーの情報が漏れたとしても、顧客や社員の『クレジットカード』情報が漏洩していなければ、すぐに犯罪に巻き込まれるということは非常に少ない。クレジットカードも万一、漏洩が原因であれば保障の機能が働く場合が多い。
たとえ、メールアドレスや住所、電話番号はそこから被害に繋がるリスクはあるが、まだ対応が『時間的』に可能である。
万一『脅迫金』を支払っても、犯罪の手口がわからず、デジタルデータのコピーが戻ってきても、肝心なデータのコピーを犯人側が消去するとは考えにくい。犯人のいうところのデータが本当に戻ってくるというエビデンスもどこにもない。当然、脅迫金を集中におさめた犯人グループは、手を変え、品を変え、脅迫できるストーリーをいくつも用意することができ、ますます成長し、他の事業者や社会に悪影響を与えることができる。自社の社員、ユーザーを守るという為だけに、資金を供与してはならないのだ。それは倍々ゲームとなって社会を窮地に陥れるだけだ。
当事者である企業や主要サービスにとっては手痛いかもしれないが、ここは犯罪集団に屈することなく断固として戦う姿勢を強気な姿勢が必要だ。そうしないと、さらに顧客やユーザーを危険にさらすこととなる。『ランサムウェア』のビジネスが割に合わないということを示すべきなのだ。
KADOKAWA 夏野社長の犯人の要求に決して応じることはないという強い意志表示が聞きたかった。
第二次世界大戦のイギリスのチャーチル首相の『ネバーサレンダー』の強気のリーダーシップが国民を鼓舞できたように。
■漏洩されるおそれのある情報と被害にあう情報
『クレジットカード』情報さえ、犯人グループに漏洩していなければ、顧客や社員が直ちに被害に合うことは限りなく少なく、時間的にゆとりがある。たとえ、漏洩された情報があれば、該当する顧客や社員は、しっかりと自身の『パスワード』が変更できるか確認しておくべきだ。そして、一番避けたいのが、『パスワード』の使いまわしだ。『パスワード』を使いまわしが一番問題だ。特に、『金融』や『SNS』では漏洩した場合、自分の『資金』や『知人の信用』などにもかかわってくる。
■ログインIDがメールアドレスは、もはやリスクでしかない
このような犯人側が『ビジネス』として『脅迫金』を目的としている以上、ハッキングして得られた『ログインID』がメールアドレスであれば、『パスワード』も使いまわしという可能性も高く、同様のサイトや、大規模サイトで本人になりすましてログインし、情報を集めておくということも可能となる。
なので、この『事件』を契機としてでも、ログイン名に『メールアドレス』を使用しないことだ。『漏洩』するリスクのあるところに『メールアドレス』を使うべきではない。
さらに『SNS』でなりすましでログインできれば、『友人』へのダイレクトメッセージなどが可能となる。そうするとなりすまして、コンビニでギフトカードを買ってきてくれなどという古風な『なりすまし詐欺』でもひっかかる人はひっかかってしまう。
『金融機関』も同様でパスワードの更新を頻繁に勧めている場合には、パスワードを変更、住所も変更、電話番号も変更されていながら、1年以上、潜まれていると個人情報も容易に集められ、どのタイミングが一番口座に資金があるかなども知られてしまう。
犯人の要求には決して応じることはなく、ランサムウェアに労力をかけてハッキングしても、労多くして益少ないという構図が一番犯人グループの防御としては効果的なのだ。
そして、個人情報をふくめて漏洩したところで、そこからの被害をイメージしながら悪用されないように、自分の情報を『管理』するという意識もユーザーには必要だ。昭和の家庭でも、表札には家族の名前が『漏洩』し、卒業アルバムには『住所や電話番号』も『完全漏洩』していた。
ありとあらゆる完全ハイテク犯罪が、増えてくるのは、『便利さ』との『トレードオフ』の関係にあるからだ。今後『AI』も巻き込んだ、ハッキング行為が巧妙化することを考えれば、悪意あるハッキングを行う者に対して、経済的損失や懲役を含めて重罪にするとともに、善意ある『ホワイトハッカー』に対して莫大な『報奨金』つまり『賞金』を掲げるなどをして、犯罪を未然に防ぐ、手口を先回りしてワナにかけるなどの対策も必要ではないだろうか?
