アリかナシか、ランサム攻撃の身代金支払いと交渉 有識者たちの見解は……：辻伸弘氏×北條孝佳弁護士 セキュリティロング対談【前編】（2/3 ページ）

ポッドキャスト「セキュリティのアレ」のメンバー・辻伸弘氏と一緒に、セキュリティに携わる人たちを訪ね、その未来を語る本連載今回の対談相手は元警察庁技官で、サイバーセキュリティ・インシデント対応の豊富な経験を持つ北條孝佳弁護士。

[宮田健，ITmedia]

ランサムギャングも「最近の若いのは……」状態？

北條氏：一方で、最近のランサムウェアグループの動きが、私には腑に落ちないんです。過去のランサムウェアグループは、かなりのプロフェッショナル集団だったと思います。犯罪ではありながら、ちゃんとビジネスとして捉えていた。かつては身代金が支払われると、復号ツールを提供し、復号できるまでアフターサービスも欠かさない。

　内部分裂が起きても、被害に遭って身代金を支払った企業のデータが表に出てくることはなかったので、きちんと削除されていたのではないかと思います。被害企業をだますことや裏切ることをすると信用にかかわるので、他の被害企業も身代金を支払えばきちんとデータは元に戻り、窃取したデータもきちんと削除するとアピールするビジネススタイルだったと考えています。

　それが、2024年2月に検挙された「Lockbit」は、身代金を支払った企業のデータもこっそり持っていたことが明らかになってしまった。つまり、ランサムウェアグループ内の統制が取れていない。プロじゃなくなったんじゃないかと思います。

参考記事：名古屋港攻撃のランサムウェア集団「LockBit」、主要インフラ無力化　ユーロポールが主導　警察庁も復号ツール開発などで協力

　プロフェッショナル集団ではない行儀の悪い人たちがどんどん参入してきたことによって、身代金を支払った後のことをどこまで信用できるのか……。その部分が、私の中ではもやもやしています。その状況で、企業として身代金を支払うという判断が本当に正当化されるのか？ということになる気もしています。

辻氏：かつてのランサムギャングの中には、自分たちの信念とか信条のような、こうあるべきという姿が多分あったと思うんですよね。ある意味でのビジネスとして。でも、自分たちで開発したものではない、流出したランサムウェアのビルドツールを使うだけのグループが登場しています。業界の参入障壁がどんどん下がっていくと、古くからの攻撃者は「最近のランサムギャングは」みたいな感じになってきているのだと思います。

　中には原点回帰と言わんばかりのルール。例えば、身代金を支払った標的を再度攻撃してはならないといったようなものを掲げている「RansomHub」のようなランサムギャングもいるにはいますが。

　以前から追いかけている（インターネット上のハクティビスト集団）「Anonymous」も似た道をたどってきました。最初はプライバシーを守るとか、弱者を守るとか、検閲なんてもっての外だという主張を持っていたけれど、新しいメンバーに行動の理由を聞いたら「今までタダで読めていた漫画が読めなくなるから」って。そういうのが混ざり始めると、（ランサムギャング）全体の信用が失われていくってことはあると思います。

併発する問題たち　世論の反応、保険会社の対応力……

辻氏：あと、日本では身代金を払うこと自体を“たたく”文化があるじゃないですか？　逆に言うと「払わなかったところは素晴らしい、英断だ」みたいな。病院とか命にかかるところは払ってもいいっていう意見はありますが。

　ただ、医療業界に限らず、普通の人だって攻撃により生活が奪われる可能性があるじゃないですか。ランサム被害によって出た損害の影響が人件費に出て、最悪の場合、契約が解除されてしまったり。その人やその家族の生活を奪いかねません。だから、僕はどっちも一緒だと思っているんです。それをたたき過ぎると、結局こっそり払う、迂回して支払うという事態になりかねない。

　“迂回”の中には、ベンダー経由で身代金を支払うことも込みの「復旧費」として、ベンダーが金銭を要求するケースもあるようです。復号するためのツールが提供されてない段階だったら30万円と言われ一旦断ったそうなのですが、しかし、それがリリースされた後に5万円でどうですか？　という連絡が来たらしいんですよ。このケースでは結局攻撃者にお金が渡ってしまうんですね。しかし、ここに対する規制はない。

北條氏：被害を受けて復旧を依頼する側が身代金の支払いを了承していないのに、復旧事業者にだまされて勝手に支払われたのであれば詐欺の可能性がありますね。他方、だまされていなければ依頼企業も了承して身代金を支払っていることになります。前者でなければ復旧事業者と依頼企業との間で犯罪は成立しないので、何が問題になるか、ということになりますね。

　例えば、被害を受けて復旧を依頼する企業がサイバー保険に加入していて「身代金は補填しない」と約款に記載されているにもかかわらず、身代金を支払った金額も含めて「復旧費」として請求し、保険金が支払われてしまうと、被害を受けた企業と復旧事業者とが一緒に保険会社をだましている可能性があるという問題もあります。

　本来であれば、どういう形で復旧したのかを保険会社がチェックすべきだと思いますが、多分そこまで手が回ってないか、チェックする機能がないか、約款に反する復旧方法があるという発想がないのかもしれません。そのあたりが謎のまま、明確にならず保険金が支払われて終わっちゃっているかもしれないですね。

辻氏：セキュリティベンダーによるランサム事案に関するレポートがさまざまなところからリリースされていますが、それが結果的に攻撃者に利する行為になったこともあります。

　ロシアで実刑判決を受けたメンバーがいた「REvil」というランサムギャングは、あるセキュリティベンダーのレポートを引用して「セキュリティベンダーのレポートでも、われわれに身代金を支払えば100％戻るというお墨付きがある」と利用されてしまった。なかなか難しいです。