アリかナシか、ランサム攻撃の身代金支払いと交渉　有識者たちの見解は……

　昨今の被害状況を見れば分かる通り、サイバー攻撃、特にランサムウェアの脅威は、業種も企業規模も無関係にやってくるようになった。それに伴い、技術やシステム構成による防御だけでなく、人と組織の課題に目を向けることも重要になりつつある。

【その他の画像】

　組織の力やセキュリティ統制の仕組み、加えて法の解釈や規制の理解も、セキュリティを形作る大事な要素だ。中でも関心が集まりやすいのは「身代金、支払うべきか、拒否するべきか」という課題だろう。

　ポッドキャスト「セキュリティのアレ」のメンバー・辻伸弘氏と一緒に、セキュリティに携わる人たちを訪ね、その未来を語る本連載。第2弾となる今回は、この「身代金、支払うべきか、拒否するべきか」という課題に注目していこう。

　今回の対談相手は元警察庁技官で弁護士。西村あさひ法律事務所・外国法共同事業のパートナーで、サイバーセキュリティ・インシデント対応の豊富な経験を持つ北條孝佳弁護士を招いた。法律のスペシャリストがセキュリティの視点を加え、「身代金支払い」「インシデント対応時の組織としての判断」「法律のこれからに感じる課題」を語る。その対談の様子を前後編でお届けしよう。

●身代金、どこまで支払うべきか、拒否するべきか

──まず、日本の企業が対応に苦しんでいるランサム事案について触れていきたいと思います。脅迫に対する身代金の考え方について、お二人の意見は

辻氏：僕のスタンスは、2019年ごろの二重脅迫といわれるランサムウェアが登場したときから基本的には変わってなくて、身代金は基本的に支払わないに越したことはないが、支払わざるを得ない場合もあるんじゃないかと思っています。もちろん、バックアップはしておくべきとも言い続けていますが。

　また、データを元に戻すための支払いに加えて、リークサイトに公開されるのを止めるための支払いというのもあり得ると思います。奪われたデータをきちんと消してもらうための身代金ではなく、リークサイトに掲載されないことを目的とした代金ですね。最近はリークサイトに掲載されたことをメディアも取り上げるじゃないですか。そこにみんながわーっと行ってダウンロードしてしまうと、ランサムギャングが奪ったデータであるという、中身の保証がある程度ついてしまう。

　リークサイト掲載を取り下げることに対してお金を払うっていうのは、まあアリじゃないけど、ナシよりのアリみたいな。

北條氏：私も暗号化されてしまったデータのバックアップがない、あるいはバックアップも暗号化されてしまい、そのデータが復元できないと事業が立ち行かなくなるなどの場合には、データを復元するための支払いを否定するわけではありません。

　ただし「何も考えずに取りあえず払っちゃえばいい」という発想はかなり問題があります。多額の身代金を支払ったのに、全てのデータを復元できなければ、暗号化されたデータに加え、支払った身代金も会社の損害になります。

　まず、法的な問題の可能性についてです。ランサムウェア攻撃によって会社に損害が生じた場合、経営者らの責任として、誰が損害賠償を請求するかというと、日本国内の上場企業だと株主が挙げられます。これまでランサムウェア被害による訴えは起きていないと思いますが、株主が代表訴訟を提起して、身代金を支払ったことによって会社に生じた損害を経営者らは支払え、と請求することです。

　非上場企業の場合でも株主は存在しますので、株主代表訴訟による経営者らへの責任追及はあり得ます。ただ、株主が創業者や経営陣しかいない場合も多く、その場合、責任追及はされないと思いますが、例えば当該企業に融資をしていて、ランサムウェア攻撃を受けて身代金を支払ったことを融資元が知ったら問題になるかもしれません。

　銀行などの融資元が、ランサムウェア攻撃によって情報が暗号化されたから身代金を支払った事実を知った場合、もしかしたらその融資したお金を回収したり、追加の融資が見送られたりするかもしれません。非上場企業のうち中小企業が怖いのは、取引先からの契約打ち切りもありますが、融資元の方々がどういう見方をするかという視点もあるのではないでしょうか。

　ただ、いずれの企業でも、経営者らへの責任追及の問題があるために“こっそり支払い”が生じる可能性があります。ランサムウェアの被害に遭って、経営者らが、「自分が責任を取らされるかもしれない」となった場合に頭をよぎることは、「身代金を支払えば、全てなかったことになるかもしれない」という考えです。まさにこの思考がランサムウェアグループの「思うつぼ」なのです。絶対に表に出ないよう情報統制をして、バレなければ良いと思い、実は支払っているパターンは意外と多いのではないかと思っています。

　データが復元できずに身代金を支払った場合、一部の従業員は知ることになり、自分の会社は身代金を支払ったなどとSNSに投稿したり、誰かに伝えたりして、何らかのきっかけで表に出るかもしれません。身代金を支払ったのに暗号化されたデータの一部しか復元できない可能性もあります。

　そうなった場合、多額の身代金を支払ったことや事業が停止したことによる損害に加え、事前の対策ができていなかったことが原因なのに隠蔽しようとしたとしてニュースなどで取り上げられて企業の評判という意味では相当のダメージがあると思います。

　そうすると、理論的には前述した株主代表訴訟による責任追及とかもあり得ます。被害企業が身代金を支払いましたと大々的に公表することはおそらくないと思いますので、バレないことを前提にこっそり支払っている企業は複数あると思うんですよね。

●交渉はすべきか否か、どう進めるべきか　想定しておくべき事態

北條氏：あとは、盗まれたデータをリークサイトにアップされないようにするために支払うという観点については、そもそも「支払いの有無に関係なくリークサイトにアップされない可能性や、アップされるデータは何なのか、どれぐらいの損害が生じるのか」を想定すべきかもしれません。

辻氏：それはありますね。どうしてもリークサイトへの掲載の取り下げについて交渉するのならば、まず窃取データを持っていることを証明させるべきです。公開情報ではなく、明らかに盗み出したと分かるデータを示せと。先日もすでに公開されているデータを元にした脅迫があったじゃないですか。

参考記事：ハッカー集団「盗んだデータをばらまくぞ」→もともと無料の公開データでした　国立遺伝学研究所でセキュリティ珍事

北條氏：窃取されたデータは何なのかを把握することは重要ですよね。あと、ランサムウェアに感染して、データを取られて、脅迫文も置かれているにもかかわらず、被害企業が完全に無視していると、ランサムウェアグループが次のターゲットに移行して、結局リークサイトにデータがアップされないケースもみられます。

　こういった事例の存在を踏まえると、一度でも交渉することで、「こいつら（被害企業）は身代金を支払ってくれる可能性があるな。もっと脅してやろう」と思わせてしまうのでは、という疑問も出てきます。そうなると「一切交渉しない」ことが正しい選択ではないかと思うのですよね。

　辻さんに聞きたいのですが、逆に「交渉したのに、身代金を支払わないから腹いせにリークしてやる」というようなパターンもあるんでしょうか。

辻氏：ありますね。

北條氏：やはりそうなんですね。一番多いのは何もしないでリークされるパターンだと思いますが、ほかに、何もしないでリークされないパターンと、交渉して腹いせにリークされるパターンもありますが、この2つだとどちらが多いのでしょうかね。おそらくそのような統計情報はないと思っているのですが、海外のセキュリティベンダーや弁護士らは、まずランサムウェアグループと交渉しなさい、と助言してきます。決裂してもいいからまず交渉すること。とにかく交渉すれば何らかの情報が得られるからと言いますね。

辻氏：（交渉によって）時間が稼げるっていうメリットもあります。

北條氏：それはありますね。窃取されたデータが何かを調べたり、リークサイトにアップされた場合のリリースを検討したり、取引先などに連絡したりする時間などが必要なこともあります。ただ、私としてはそもそも身代金の支払いを推奨しないし、支払わないならば一切交渉しないというのが基本的なアドバイスだと思っています。

辻氏：払うつもりが全くないのであれば、交渉はしない方がいいです。交渉を行った場合、盗んだ情報だけでなく、その時のチャットログも公開対象になるんです。場合によってはこれが致命傷になる。払うつもりはなく、相手から情報を引き出すためだけに交渉するのは、僕は良くないと思います。

北條氏：チャットログの公開について、犯人側と接触すること自体は、日本の法律に何か違反するかというと、違反するわけではありません。だから、仮にチャットログがリークされたとしても「接触はしたけど、払うつもりはなかった」って言えちゃうとは思います。

辻氏：（世間には）勘繰られますけどね（笑）。僕はやはり「払う気がないなら交渉するな」ですね。払う気があるなら、盗んだデータが本物なのか確認する価値はある。そして金額の交渉ですね。これまで見てきた中では、交渉すればほぼ身代金は下がるので。

●ランサムギャングも「最近の若いのは……」状態？

北條氏：一方で、最近のランサムウェアグループの動きが、私には腑に落ちないんです。過去のランサムウェアグループは、かなりのプロフェッショナル集団だったと思います。犯罪ではありながら、ちゃんとビジネスとして捉えていた。かつては身代金が支払われると、復号ツールを提供し、復号できるまでアフターサービスも欠かさない。

　内部分裂が起きても、被害に遭って身代金を支払った企業のデータが表に出てくることはなかったので、きちんと削除されていたのではないかと思います。被害企業をだますことや裏切ることをすると信用にかかわるので、他の被害企業も身代金を支払えばきちんとデータは元に戻り、窃取したデータもきちんと削除するとアピールするビジネススタイルだったと考えています。

　それが、2024年2月に検挙された「Lockbit」は、身代金を支払った企業のデータもこっそり持っていたことが明らかになってしまった。つまり、ランサムウェアグループ内の統制が取れていない。プロじゃなくなったんじゃないかと思います。

参考記事：名古屋港攻撃のランサムウェア集団「LockBit」、主要インフラ無力化　ユーロポールが主導　警察庁も復号ツール開発などで協力

　プロフェッショナル集団ではない行儀の悪い人たちがどんどん参入してきたことによって、身代金を支払った後のことをどこまで信用できるのか……。その部分が、私の中ではもやもやしています。その状況で、企業として身代金を支払うという判断が本当に正当化されるのか？ということになる気もしています。

辻氏：かつてのランサムギャングの中には、自分たちの信念とか信条のような、こうあるべきという姿が多分あったと思うんですよね。ある意味でのビジネスとして。でも、自分たちで開発したものではない、流出したランサムウェアのビルドツールを使うだけのグループが登場しています。業界の参入障壁がどんどん下がっていくと、古くからの攻撃者は「最近のランサムギャングは」みたいな感じになってきているのだと思います。

　中には原点回帰と言わんばかりのルール。例えば、身代金を支払った標的を再度攻撃してはならないといったようなものを掲げている「RansomHub」のようなランサムギャングもいるにはいますが。

　以前から追いかけている（インターネット上のハクティビスト集団）「Anonymous」も似た道をたどってきました。最初はプライバシーを守るとか、弱者を守るとか、検閲なんてもっての外だという主張を持っていたけれど、新しいメンバーに行動の理由を聞いたら「今までタダで読めていた漫画が読めなくなるから」って。そういうのが混ざり始めると、（ランサムギャング）全体の信用が失われていくってことはあると思います。

●併発する問題たち　世論の反応、保険会社の対応力……

辻氏：あと、日本では身代金を払うこと自体を“たたく”文化があるじゃないですか？　逆に言うと「払わなかったところは素晴らしい、英断だ」みたいな。病院とか命にかかるところは払ってもいいっていう意見はありますが。

　ただ、医療業界に限らず、普通の人だって攻撃により生活が奪われる可能性があるじゃないですか。ランサム被害によって出た損害の影響が人件費に出て、最悪の場合、契約が解除されてしまったり。その人やその家族の生活を奪いかねません。だから、僕はどっちも一緒だと思っているんです。それをたたき過ぎると、結局こっそり払う、迂回して支払うという事態になりかねない。

　“迂回”の中には、ベンダー経由で身代金を支払うことも込みの「復旧費」として、ベンダーが金銭を要求するケースもあるようです。復号するためのツールが提供されてない段階だったら30万円と言われ一旦断ったそうなのですが、しかし、それがリリースされた後に5万円でどうですか？　という連絡が来たらしいんですよ。このケースでは結局攻撃者にお金が渡ってしまうんですね。しかし、ここに対する規制はない。

北條氏：被害を受けて復旧を依頼する側が身代金の支払いを了承していないのに、復旧事業者にだまされて勝手に支払われたのであれば詐欺の可能性がありますね。他方、だまされていなければ依頼企業も了承して身代金を支払っていることになります。前者でなければ復旧事業者と依頼企業との間で犯罪は成立しないので、何が問題になるか、ということになりますね。

　例えば、被害を受けて復旧を依頼する企業がサイバー保険に加入していて「身代金は補填しない」と約款に記載されているにもかかわらず、身代金を支払った金額も含めて「復旧費」として請求し、保険金が支払われてしまうと、被害を受けた企業と復旧事業者とが一緒に保険会社をだましている可能性があるという問題もあります。

　本来であれば、どういう形で復旧したのかを保険会社がチェックすべきだと思いますが、多分そこまで手が回ってないか、チェックする機能がないか、約款に反する復旧方法があるという発想がないのかもしれません。そのあたりが謎のまま、明確にならず保険金が支払われて終わっちゃっているかもしれないですね。

辻氏：セキュリティベンダーによるランサム事案に関するレポートがさまざまなところからリリースされていますが、それが結果的に攻撃者に利する行為になったこともあります。

　ロシアで実刑判決を受けたメンバーがいた「REvil」というランサムギャングは、あるセキュリティベンダーのレポートを引用して「セキュリティベンダーのレポートでも、われわれに身代金を支払えば100％戻るというお墨付きがある」と利用されてしまった。なかなか難しいです。

●不足するナレッジ、曖昧になるインシデントレポート

──話を聞いていると、ランサムウェアというインシデント対応時の、組織としての判断を行うための情報が圧倒的に不足しているのではないかと感じます

北條氏：情報が不足しているのは被害を受けた企業だけじゃなく、セキュリティベンダーも同じじゃないかと思います。新規に参入した中規模のセキュリティベンダーもたくさんありますからね。

　例えばSOC（Security Operation Center、システムへの脅威を24時間365日体制で監視・分析する）機能を提供すると、相当な売上になると聞きます。インシデントが起きれば、さらに追加で費用を上乗せできるのでしょうね。ただ、あくまで簡易的なことしかしない、あるいはできないセキュリティベンダーも増えているように思います。

辻氏：そういうベンダーがいう「監視サービス」も、本来のものとはちょっと意味合いが変わってくる場合もでてくるのかなと思います。しかも良くない方に。現状のクオリティを維持し続けることによって生じる人件費だと勝負できなくなってきますので、質を下げたオフショア対応になるかもしれません。

　そうすると「監視やっています（なんちゃって）」みたいな状態になることも考えられます。結果として、これまで真面目にやってきたベンダーが、競争力を失ってしまう。

北條氏：そっちの方が全体的な金額が安くなるから、契約を取りやすいのかもしれませんね。依頼する企業もインシデントが発生するまでどのような対応をしてくれるのかをきちんと理解せず契約している可能性もあります。個人的には、そういう良くないベンダーは、インシデント対応の経験が全くない未経験者も監視の人員として割り当てているような気がしているんです。

辻氏：下手したら人じゃなくてAIかもしれない（笑）

北條氏：そういう人たち、あるいはAIかもしれません（笑）が、最新の情報が収集できていない可能性が高いと思うんですよ。しかし、被害に遭った企業は、そのような状況は分からないですから、ベンダーを信用して依頼しているわけですので、言われるがままに信じると思います。本来、セキュリティベンダーは「常に最新の情報を手に入れよ」ということが必須であってほしいのですが、そのような義務があるわけでもなく、なかなか難しい話なんでしょうね。

辻氏：僕もリークを伴うランサムギャングを4〜5年間見ていますけど、「二重脅迫」だけでも移り変わりありますもんね。VMware ESXiのソースコードがリークされてからは、ギャングの仮想環境への対応も早かったんですよ。漏えいしたソースコードの一部を流用しているんだと思うんですけど、そういう移り変わりをキャッチアップすることは結構大変だと思う。

　大手のしっかりしているセキュリティベンダーだとしても、このジャンルは詳しいけど、このジャンルは弱いとかっても多分あるんじゃないかなと思います。

北條氏：マルウェアの解析には強かったとしても、そういうランサムウェアグループをきちんと定点観測しているベンダーっていうのは少ないかもしれません。継続的に深く情報収集をしているのは、辻さんとか数人ぐらいじゃないんですか（笑）？

辻氏：何人いるかは分からないですけど、分析はしていても「発信」はそれほどされてないですよね。それはないのと一緒だと思うんですよ。加えて誤った情報が広まることもありますし、時間がたって情報が陳腐化していることもあります。

北條氏：ランサムウェアの被害に遭った企業が依頼して調査したベンダーからのレポートは、私から見ても足りない情報、古い情報が散見される。“お客様”から見れば立派なレポートに見えるかもしれないけど、私から見ると、何を意味しているんですか？　なぜこの結論になったのですか？　この結論の裏付けはあるんですか？　このように考えることもできるのではないですか？　という内容がよくあります。

　多分、他の被害に遭った企業に助言しているセキュリティに明るくない弁護士の方々は、調査レポートをきちんと確認できていないかもしれず、そのような問題のあるレポートに気付けていないのではないか、とも思います。この辺りは弁護士も知識を付けてほしいところです。

辻氏：グローバル化が進んで、ベンダー使ってインシデントのレポートを世界の各地域で上げてもらうと、そのレベル感が違うんですよ。同じ攻撃グループなのに、レポートの書きっぷりが全然違うことも多い。

北條氏：このようなベンダーからのレポートに基づいて、被害に遭った企業が公表しているリリースなどにおいて最近散見されるのが「情報漏えいの事実は確認されておりません」という表現。これは本当に気になっています。

辻氏：僕がつい反応してしまう言葉ですね！