ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

アリかナシか、ランサム攻撃の身代金支払いと交渉 有識者たちの見解は……辻伸弘氏×北條孝佳弁護士 セキュリティロング対談【前編】(1/3 ページ)

» 2025年01月08日 15時00分 公開
[宮田健ITmedia]

 昨今の被害状況を見れば分かる通り、サイバー攻撃、特にランサムウェアの脅威は、業種も企業規模も無関係にやってくるようになった。それに伴い、技術やシステム構成による防御だけでなく、人と組織の課題に目を向けることも重要になりつつある。

 組織の力やセキュリティ統制の仕組み、加えて法の解釈や規制の理解も、セキュリティを形作る大事な要素だ。中でも関心が集まりやすいのは「身代金、支払うべきか、拒否するべきか」という課題だろう。

 ポッドキャスト「セキュリティのアレ」のメンバー・辻伸弘氏と一緒に、セキュリティに携わる人たちを訪ね、その未来を語る本連載。第2弾となる今回は、この「身代金、支払うべきか、拒否するべきか」という課題に注目していこう。

 今回の対談相手は元警察庁技官で弁護士。西村あさひ法律事務所・外国法共同事業のパートナーで、サイバーセキュリティ・インシデント対応の豊富な経験を持つ北條孝佳弁護士を招いた。法律のスペシャリストがセキュリティの視点を加え、「身代金支払い」「インシデント対応時の組織としての判断」「法律のこれからに感じる課題」を語る。その対談の様子を前後編でお届けしよう。

photo 辻伸弘氏(左)と北條孝佳弁護士(右)

身代金、どこまで支払うべきか、拒否するべきか

──まず、日本の企業が対応に苦しんでいるランサム事案について触れていきたいと思います。脅迫に対する身代金の考え方について、お二人の意見は

辻氏:僕のスタンスは、2019年ごろの二重脅迫といわれるランサムウェアが登場したときから基本的には変わってなくて、身代金は基本的に支払わないに越したことはないが、支払わざるを得ない場合もあるんじゃないかと思っています。もちろん、バックアップはしておくべきとも言い続けていますが。

 また、データを元に戻すための支払いに加えて、リークサイトに公開されるのを止めるための支払いというのもあり得ると思います。奪われたデータをきちんと消してもらうための身代金ではなく、リークサイトに掲載されないことを目的とした代金ですね。最近はリークサイトに掲載されたことをメディアも取り上げるじゃないですか。そこにみんながわーっと行ってダウンロードしてしまうと、ランサムギャングが奪ったデータであるという、中身の保証がある程度ついてしまう。

 リークサイト掲載を取り下げることに対してお金を払うっていうのは、まあアリじゃないけど、ナシよりのアリみたいな。

北條氏:私も暗号化されてしまったデータのバックアップがない、あるいはバックアップも暗号化されてしまい、そのデータが復元できないと事業が立ち行かなくなるなどの場合には、データを復元するための支払いを否定するわけではありません。

 ただし「何も考えずに取りあえず払っちゃえばいい」という発想はかなり問題があります。多額の身代金を支払ったのに、全てのデータを復元できなければ、暗号化されたデータに加え、支払った身代金も会社の損害になります。

 まず、法的な問題の可能性についてです。ランサムウェア攻撃によって会社に損害が生じた場合、経営者らの責任として、誰が損害賠償を請求するかというと、日本国内の上場企業だと株主が挙げられます。これまでランサムウェア被害による訴えは起きていないと思いますが、株主が代表訴訟を提起して、身代金を支払ったことによって会社に生じた損害を経営者らは支払え、と請求することです。

 非上場企業の場合でも株主は存在しますので、株主代表訴訟による経営者らへの責任追及はあり得ます。ただ、株主が創業者や経営陣しかいない場合も多く、その場合、責任追及はされないと思いますが、例えば当該企業に融資をしていて、ランサムウェア攻撃を受けて身代金を支払ったことを融資元が知ったら問題になるかもしれません。

 銀行などの融資元が、ランサムウェア攻撃によって情報が暗号化されたから身代金を支払った事実を知った場合、もしかしたらその融資したお金を回収したり、追加の融資が見送られたりするかもしれません。非上場企業のうち中小企業が怖いのは、取引先からの契約打ち切りもありますが、融資元の方々がどういう見方をするかという視点もあるのではないでしょうか。

 ただ、いずれの企業でも、経営者らへの責任追及の問題があるために“こっそり支払い”が生じる可能性があります。ランサムウェアの被害に遭って、経営者らが、「自分が責任を取らされるかもしれない」となった場合に頭をよぎることは、「身代金を支払えば、全てなかったことになるかもしれない」という考えです。まさにこの思考がランサムウェアグループの「思うつぼ」なのです。絶対に表に出ないよう情報統制をして、バレなければ良いと思い、実は支払っているパターンは意外と多いのではないかと思っています。

 データが復元できずに身代金を支払った場合、一部の従業員は知ることになり、自分の会社は身代金を支払ったなどとSNSに投稿したり、誰かに伝えたりして、何らかのきっかけで表に出るかもしれません。身代金を支払ったのに暗号化されたデータの一部しか復元できない可能性もあります。

 そうなった場合、多額の身代金を支払ったことや事業が停止したことによる損害に加え、事前の対策ができていなかったことが原因なのに隠蔽しようとしたとしてニュースなどで取り上げられて企業の評判という意味では相当のダメージがあると思います。

 そうすると、理論的には前述した株主代表訴訟による責任追及とかもあり得ます。被害企業が身代金を支払いましたと大々的に公表することはおそらくないと思いますので、バレないことを前提にこっそり支払っている企業は複数あると思うんですよね。

交渉はすべきか否か、どう進めるべきか 想定しておくべき事態

北條氏:あとは、盗まれたデータをリークサイトにアップされないようにするために支払うという観点については、そもそも「支払いの有無に関係なくリークサイトにアップされない可能性や、アップされるデータは何なのか、どれぐらいの損害が生じるのか」を想定すべきかもしれません。

辻氏:それはありますね。どうしてもリークサイトへの掲載の取り下げについて交渉するのならば、まず窃取データを持っていることを証明させるべきです。公開情報ではなく、明らかに盗み出したと分かるデータを示せと。先日もすでに公開されているデータを元にした脅迫があったじゃないですか。

参考記事:ハッカー集団「盗んだデータをばらまくぞ」→もともと無料の公開データでした 国立遺伝学研究所でセキュリティ珍事

北條氏:窃取されたデータは何なのかを把握することは重要ですよね。あと、ランサムウェアに感染して、データを取られて、脅迫文も置かれているにもかかわらず、被害企業が完全に無視していると、ランサムウェアグループが次のターゲットに移行して、結局リークサイトにデータがアップされないケースもみられます。

 こういった事例の存在を踏まえると、一度でも交渉することで、「こいつら(被害企業)は身代金を支払ってくれる可能性があるな。もっと脅してやろう」と思わせてしまうのでは、という疑問も出てきます。そうなると「一切交渉しない」ことが正しい選択ではないかと思うのですよね。

 辻さんに聞きたいのですが、逆に「交渉したのに、身代金を支払わないから腹いせにリークしてやる」というようなパターンもあるんでしょうか。

辻氏:ありますね。

北條氏:やはりそうなんですね。一番多いのは何もしないでリークされるパターンだと思いますが、ほかに、何もしないでリークされないパターンと、交渉して腹いせにリークされるパターンもありますが、この2つだとどちらが多いのでしょうかね。おそらくそのような統計情報はないと思っているのですが、海外のセキュリティベンダーや弁護士らは、まずランサムウェアグループと交渉しなさい、と助言してきます。決裂してもいいからまず交渉すること。とにかく交渉すれば何らかの情報が得られるからと言いますね。

辻氏:(交渉によって)時間が稼げるっていうメリットもあります。

北條氏:それはありますね。窃取されたデータが何かを調べたり、リークサイトにアップされた場合のリリースを検討したり、取引先などに連絡したりする時間などが必要なこともあります。ただ、私としてはそもそも身代金の支払いを推奨しないし、支払わないならば一切交渉しないというのが基本的なアドバイスだと思っています。

辻氏:払うつもりが全くないのであれば、交渉はしない方がいいです。交渉を行った場合、盗んだ情報だけでなく、その時のチャットログも公開対象になるんです。場合によってはこれが致命傷になる。払うつもりはなく、相手から情報を引き出すためだけに交渉するのは、僕は良くないと思います。

北條氏:チャットログの公開について、犯人側と接触すること自体は、日本の法律に何か違反するかというと、違反するわけではありません。だから、仮にチャットログがリークされたとしても「接触はしたけど、払うつもりはなかった」って言えちゃうとは思います。

辻氏:(世間には)勘繰られますけどね(笑)。僕はやはり「払う気がないなら交渉するな」ですね。払う気があるなら、盗んだデータが本物なのか確認する価値はある。そして金額の交渉ですね。これまで見てきた中では、交渉すればほぼ身代金は下がるので。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.