北條氏：一方で、最近のランサムウェアグループの動きが、私には腑に落ちないんです。過去のランサムウェアグループは、かなりのプロフェッショナル集団だったと思います。犯罪ではありながら、ちゃんとビジネスとして捉えていた。かつては身代金が支払われると、復号ツールを提供し、復号できるまでアフターサービスも欠かさない。

　内部分裂が起きても、被害に遭って身代金を支払った企業のデータが表に出てくることはなかったので、きちんと削除されていたのではないかと思います。被害企業をだますことや裏切ることをすると信用にかかわるので、他の被害企業も身代金を支払えばきちんとデータは元に戻り、窃取したデータもきちんと削除するとアピールするビジネススタイルだったと考えています。

　それが、2024年2月に検挙された「Lockbit」は、身代金を支払った企業のデータもこっそり持っていたことが明らかになってしまった。つまり、ランサムウェアグループ内の統制が取れていない。プロじゃなくなったんじゃないかと思います。

参考記事：名古屋港攻撃のランサムウェア集団「LockBit」、主要インフラ無力化　ユーロポールが主導　警察庁も復号ツール開発などで協力

　プロフェッショナル集団ではない行儀の悪い人たちがどんどん参入してきたことによって、身代金を支払った後のことをどこまで信用できるのか……。その部分が、私の中ではもやもやしています。その状況で、企業として身代金を支払うという判断が本当に正当化されるのか？ということになる気もしています。

辻氏：かつてのランサムギャングの中には、自分たちの信念とか信条のような、こうあるべきという姿が多分あったと思うんですよね。ある意味でのビジネスとして。でも、自分たちで開発したものではない、流出したランサムウェアのビルドツールを使うだけのグループが登場しています。業界の参入障壁がどんどん下がっていくと、古くからの攻撃者は「最近のランサムギャングは」みたいな感じになってきているのだと思います。

　中には原点回帰と言わんばかりのルール。例えば、身代金を支払った標的を再度攻撃してはならないといったようなものを掲げている「RansomHub」のようなランサムギャングもいるにはいますが。

　以前から追いかけている（インターネット上のハクティビスト集団）「Anonymous」も似た道をたどってきました。最初はプライバシーを守るとか、弱者を守るとか、検閲なんてもっての外だという主張を持っていたけれど、新しいメンバーに行動の理由を聞いたら「今までタダで読めていた漫画が読めなくなるから」って。そういうのが混ざり始めると、（ランサムギャング）全体の信用が失われていくってことはあると思います。

併発する問題たち　世論の反応、保険会社の対応力……

辻氏：あと、日本では身代金を払うこと自体を“たたく”文化があるじゃないですか？　逆に言うと「払わなかったところは素晴らしい、英断だ」みたいな。病院とか命にかかるところは払ってもいいっていう意見はありますが。

　ただ、医療業界に限らず、普通の人だって攻撃により生活が奪われる可能性があるじゃないですか。ランサム被害によって出た損害の影響が人件費に出て、最悪の場合、契約が解除されてしまったり。その人やその家族の生活を奪いかねません。だから、僕はどっちも一緒だと思っているんです。それをたたき過ぎると、結局こっそり払う、迂回して支払うという事態になりかねない。

　“迂回”の中には、ベンダー経由で身代金を支払うことも込みの「復旧費」として、ベンダーが金銭を要求するケースもあるようです。復号するためのツールが提供されてない段階だったら30万円と言われ一旦断ったそうなのですが、しかし、それがリリースされた後に5万円でどうですか？　という連絡が来たらしいんですよ。このケースでは結局攻撃者にお金が渡ってしまうんですね。しかし、ここに対する規制はない。

北條氏：被害を受けて復旧を依頼する側が身代金の支払いを了承していないのに、復旧事業者にだまされて勝手に支払われたのであれば詐欺の可能性がありますね。他方、だまされていなければ依頼企業も了承して身代金を支払っていることになります。前者でなければ復旧事業者と依頼企業との間で犯罪は成立しないので、何が問題になるか、ということになりますね。

　例えば、被害を受けて復旧を依頼する企業がサイバー保険に加入していて「身代金は補填しない」と約款に記載されているにもかかわらず、身代金を支払った金額も含めて「復旧費」として請求し、保険金が支払われてしまうと、被害を受けた企業と復旧事業者とが一緒に保険会社をだましている可能性があるという問題もあります。

　本来であれば、どういう形で復旧したのかを保険会社がチェックすべきだと思いますが、多分そこまで手が回ってないか、チェックする機能がないか、約款に反する復旧方法があるという発想がないのかもしれません。そのあたりが謎のまま、明確にならず保険金が支払われて終わっちゃっているかもしれないですね。

辻氏：セキュリティベンダーによるランサム事案に関するレポートがさまざまなところからリリースされていますが、それが結果的に攻撃者に利する行為になったこともあります。

　ロシアで実刑判決を受けたメンバーがいた「REvil」というランサムギャングは、あるセキュリティベンダーのレポートを引用して「セキュリティベンダーのレポートでも、われわれに身代金を支払えば100％戻るというお墨付きがある」と利用されてしまった。なかなか難しいです。

不足するナレッジ、曖昧になるインシデントレポート

「大企業を守るには、中小を守らねば」──セキュリティの“周回差”、ニッポンらしい埋め方は
“働くセキュリティ人”たちに注目。2021年度の総務大臣奨励賞を受賞したポッドキャスト「セキュリティのアレ」のメンバー・辻伸弘氏と一緒に、セキュリティに携わる人たちを訪ね、その未来を語る。今回はGMOサイバーセキュリティ byイエラエでSOC（Security Operation Center）事業を立ち上げた阿部慎司氏をゲストに招く。
若手セキュリティ人材に知らせたい、「ちゃんと守れた」を伝える訴求力　「問題が起きない＝評価されない」にしない考え方
“働くセキュリティ人”たちに注目。2021年度の総務大臣奨励賞を受賞したポッドキャスト「セキュリティのアレ」のメンバー・辻伸弘氏と一緒に、セキュリティに携わる人たちを訪ね、その未来を語る。今回はGMOサイバーセキュリティ byイエラエでSOC（Security Operation Center）事業を立ち上げた阿部慎司氏をゲストに招く。
サイゼリヤ、個人情報6万件超漏えいか　10月のランサムウェア攻撃で
サイゼリヤは、10月に発表したランサムウェア攻撃の被害を巡り、従業員などの個人情報6万件超が漏えいした可能性があると発表した。
「DMMビットコイン」廃業へ　5月に482億円相当が不正流出　口座などはSBI VCトレードに移管
DMM.comグループで暗号通貨取引所を運営するDMM Bitcoinは12月1日、廃業の意向を発表した。5月に発生した暗号資産の不正流出に関し、口座と預かり資産をSBI VCトレードに移管することで両者間で合意したとしている。
ロシアのハッカー、ターゲットの建物に“隣人のWi-Fi経由”で侵入　攻撃元は数千km離れた場所　ウクライナ侵攻直前に実行
サイバーセキュリティ企業の米Volexityは、ロシアのハッカー集団「GruesomeLarch」（APT28、Forest Blizzard、Sofacyなどの別名を持つ）が、標的に物理的に近接するWi-Fiネットワークを悪用する新しい攻撃手法を展開していたこと発表した。