出版大手KADOKAWAが大規模なサイバー攻撃を受けた問題は、被害発覚から7月8日で1カ月を迎える。システム障害に加え、大量の個人情報が流出したとみられ、データの復元や暴露回避のための金銭を要求するランサムウェアへの対応の難しさが浮き彫りになった。特に身代金の支払いの是非は、専門家の間でも見解が分かれており、企業は被害発覚後の対処方法を明確化しておく必要がある。
KADOKAWAを巡っては、グループ会社のドワンゴや学校法人「角川ドワンゴ学園」などに関連する個人情報が流出したとみられる。KADOKAWAは現在も被害の把握に追われ、「7月中に正確な情報が得られる見通し」と説明する。
「ブラックスーツ」を名乗るロシア系ハッカー集団は6月27日公表の犯行声明で、盗んだデータの公開回避と引き換えに身代金を要求。「彼らが提示した金額はこの会社にとって非常に低い」とし、KADOKAWAが身代金交渉に応じていることをほのめかした。
犯行声明に先立ち、同社が約4億7000万円相当の身代金を支払ったが、追加の身代金を要求されているとの一部報道もあった。同社は「犯罪者を利する」などと抗議したが、支払いの有無は明らかになっていない。
身代金の支払いについて日本では比較的、反社会的勢力に利益供与することになると批判的にみられているとされる。理由には次の犯行を助長することへの懸念などが挙げられている。
米国では今年3月にランサムウェア攻撃を受けた医療関連企業が2200万ドル(約35億円相当)を支払ったと報じられた直後、医療機関を狙ったランサムウェア被害が急増。患者の人命にかかわるため、医療機関は支払いに応じやすいとして狙われる傾向にあるが、専門家の間では「多額の支払いが次の犯行を誘引した」との指摘が相次ぐ。
被害額の高額化に拍車をかける恐れもある。英サイバーセキュリティ会社のソフォスによる14カ国の組織を対象とした調査では、2023年のランサムウェアの被害を受けて支払われた身代金の平均額は396万ドル(約6億3600万円)と前年比2.6倍に急増。同社は「100万ドル以上を支払うことは今や当たり前になった」と最近の傾向を説明する。
日本では政府が支払いに応じないよう要請しており、サイバーセキュリティ会社・ラックのサイバー救急センターの中村祐平担当部長も、社会から批判を浴びる「炎上リスク」などから「身代金を支払うのはおすすめできない」と話す。
サイバー攻撃への対応に詳しい大井哲也弁護士によると、テロ組織に対する資金提供を禁じる日本の法律は、ハッカー集団を対象に含んでいない。だが、米国にはハッカー集団を含むテロ組織との取引を禁じる法規制があり、「身代金を支払った場合、日本企業でも制裁対象になり得る」と指摘する。
一方、日本ハッカー協会の杉浦隆幸代表理事は犯罪者側との積極的な交渉を促す。支払うか否かは経営判断とし、「重要なのは影響を最小限に抑え、顧客や株主を守ること。軽々に『払うな』とひとごとのように言うべきではない」と訴える。
犯罪者側との交渉に応じること自体は、より正確な判断材料となる情報を収集する上で有益とされる。ラックの中村氏は「外国の経験豊富なプロの交渉人に依頼することも検討した方がよいだろう」と話している。(福田涼太郎)
copyright (c) Sankei Digital All rights reserved.
Special
PR