会社がランサムウェア攻撃を受けたらどう対応する？「事業継続」に関わる重大リスクに、専門家2人が提言

BE PREPARED!

2024年12月25日（水）17時43分

構成・山田敏弘　写真・遠藤宏

newsweekjp20241224084358-ffd33e9dfd9fee092dce5d57dece91dc486155e0.jpg

24年6月、KADOKAWAグループに対して大規模なランサムウエア攻撃が行われ、傘下のドワンゴなどのサービスの多くが提供できなくなった。25万人分の個人情報が漏洩し、25年3月期に35億円の特別損失を計上する事態に　AFLO

仮に支払うことが法律に抵触しないとして、次に問題となるのは支払いをするかどうかですが、テロや戦争に資金が流れる危険があるため反社会的勢力に金銭的な価値を提供するのは望ましくありません。

ただ、懸念しているのは、現状ここで議論が止まっていることです。これまでどちらかと言うと、「身代金を支払うことはけしからん、議論すること自体あり得ない」という感じで、身代金を支払うかどうかについて議論することも憚られる状況でした。

しかしながらが、身代金の支払い関する受け止め方は少しずつ変わりつつある印象です。米パロアルト社の調査結果によると、身代金について10％が「支払いはやむを得ない」、49%が「その状況にならないと分からない」という回答でした。

そのためか、ランサムウエア攻撃を受けて身代金を要求されたときに備え、どう対応すべきかを検討する企業が増えてきました。事業継続に関わるリスクである以上、少なからず平時から議論しておこうという変化を感じます。

大原則として身代金は支払わないとした上で、仮に支払わざるを得ない場合があるとしたらどういう場合か、人命が関わる場合か、社会インフラが停止する場合か、基幹システムが停止する場合か、そして支払わざるを得ない場合は捜査当局とどのように連携すべきか、といった点が議論されるようになってきました。

中谷　インシデントが発生した際には、企業は個人情報の漏洩があったかどうかに関係なく、攻撃に起因する被害についてまず政府に報告するというのが大前提ではないでしょうか。アメリカのように、この報告については義務化したほうがいいでしょう。特定のテロリスト集団に身代金を支払うのは法律上NGですが、LockBit等のサイバー犯罪集団に身代金を支払うかどうかは、支払わないで解決する方法を考えることを前提に経営判断、事業継続の問題として考えることが重要です。

大事なのは、同じ被害の発生を防止するために、サイバー攻撃の被害にあった企業が攻撃者とのコミュニケーションを被害者として捜査当局に共有して、犯人逮捕に向けて協力をすることです。アメリカでは身代金を支払う企業は少なくないと言われますが、捜査機関等関係当局に報告をしていると聞いています。ただし、考慮すべきは、一度身代金を支払うとサイバー攻撃者の間で流通しているいわゆる顧客リストに載ってしまい、他の犯罪組織集団に情報共有され、何度もサイバー攻撃を受ける危険性はあります。

山岡　万が一支払わざるを得ない場合に黙って支払いをすると、さらに犯罪を助長する可能性があります。例えば、ハッカーに支払いをするために外部のエージェントに依頼する。すると、そのエージェントとハッカーがつながっていたりするケースもある。そういう意味でも、警察と情報を共有して連携することは非常に重要です。

次のページアクティブ・サイバー・ディフェンスの必要性は？