先月以来、ランサムウェアが極めて話題になっています。京都のイセトーというデータ処理会社が業務委託を受けた自治体や企業から50万人以上に上る個人情報流出は、5月にランサムウェア感染が確認されてから、その詳細な調査によって7月になってからも、その被害が次々と明らかになり、自治体、企業合わせて数十社以上になっています。そしてKADOKAWAグループへのサイバー攻撃です。イセトー同様、ランサムウェアによる攻撃ですが、現在のところ、必ずしも全容が明らかになっていないばかりか、流出した情報の内容、身代金の受け渡し、犯人グループについて不確かな情報が流れています。KADOKAWAという日本有数の出版業であり、NICONICO動画等、ネット上での著名なコンテンツ事業社、そしてN高等学校をはじめ学校運営の行っていることから、一般のニュース番組やバラエティ色をもつ情報番組まで少なからず取り上げられていました。その中でサイバー攻撃関係の専門家と称しているパネラーや経済等を専門にする評論家たちがその対策やランサムウェアについて解説しています。しかし残念なことに、その対策や解釈は大きく間違っているだけでなく、それを信じて対策を行えば、更なる大きな被害に見舞われることになるものでした。その中で大きく2点について指摘します。

第一は、ランサムウェア等サイバー攻撃の被害に遭わないためにはパソコンやサーバー類をインターネットに接続しないことであると強調していました。これは一概には正しくありません。病院へのランサムウェア攻撃として有名となった徳島のつるぎ町立半田病院も、院内の人たちは病院の電子カルテやＣＴやＭＲＩ等の電子機器等はインターネットに接続していないと、その運用管理を行っているＩＴベンダから説明を受け、信じていたのですから。実際はＶＰＮという装置を用いて、インターネットと接続していました。ＩＴベンダがＶＰＮを含めて、その運用管理をしっかりと行っていれば、ＩＴベンダ以外は外部から、すなわちインターネットを通して外部から侵入することはできず、インターネットと接続していないことになります。しかし、その前提であるＶＰＮ等の管理運用がおろそかになれば、そうとは言えなくなるのです。半田病院の例はＶＰＮとは言え、物理的にはインターネットと接続しているものでした。2016年の日本年金機構へのサイバー攻撃については、個人情報を扱うサーバー類はインターネットに接続していない中での情報流失でした。100万件以上の個人情報がサイバー攻撃によって外部に漏れたのです。確かにサーバー類はインターネットと物理的に接続されていませんでした。しかし、所員らのインターネットに接続してるパソコンがサイバー攻撃を受け、マルウェアが感染したパソコンをサーバー類に接続したことで情報が漏洩したのです。強いて言えば、インターネットに接続していない、あるいはしないパソコンやサーバーはあり得ないのです。直接、インターネットに接続していなくとも、パソコンやＵＳＢメモリ、あるいはスマホを介在させてインターネットを接続することは十分あり得ます。結局は人間が介在しているかぎり、インターネットに結ばれてしまうことになるのです。

次にランサムウェアに対する理解です。ＴＶ番組のゲストが「身代金を払えば、かならず復旧してくれるのか、払ったにもかかわらず、さらに要求され、再度、狙われるということはないのか？」と専門家と称する人に問いかけていました。その専門家は「ランサムウェアを操る人もビジネスなので有りえない！（つまり、払えば復旧され、二度と狙われることはない）」と言い放ったのでした。これは間違いです。確かにRaaS（Ransomware as a Service)といって、ランサムウェアを扱う犯罪組織はビジネス化しています。身代金を払っても復旧できないとなると誰も身代金を払わなくなり、金品を盗るという目的が達成できなるからです。しかしビジネスと言っても、公共の福祉に携わる機関ではありません。必ず復旧するとは限らず、保証をすることはありません。実際に身代金を払っても復旧できない例も少なくありません。苦労して復旧したとしても、再度、狙われることもあり、実例も存在します。またランサムウェアはシステムを暗号化し、破壊するだけでなく、そのデータを流出させることが一般的です。流出した個人情報や企業の秘密情報も質に盗られているのです。身代金を払っても、その流出した情報を返してくれるわけではありません。公開しないと口約束をするだけです。約束を反故にされて何時公開されるかわかりませんし、隠れて敵対企業や反社会組織に売買される可能性もあるのです。それでもBCP（事業継続計画）が稼働せず、経営自体がとん挫し、事業破綻は免れないとなった場合、身代金を払うことで小さな可能性に賭けるという経営判断はあり得るかもしれません。その場合も運よく復旧できたとしても反社会組織に対して協力した企業であるとの誹りは避けられず、その際のデメリットを十分考慮すべきです。

まとめるに、「インターネットに接続しなければ安全」というような簡単な対策では意味がなく、現在では「閉域網の神話」と呼ばれています。身代金を払うことで解決が保証されるわけでもなく、逆に身代金がテロや反社会活動に利用される可能性もあり、社会的批判を浴びることになり、システム破壊以上の損害に向かうことになるでしょう。