「KADOKAWA VS. NewsPicks」騒動に 犯人と交渉中の暴露報道は“正しい”ことなのか

　事実、日本でもランサムウェア被害を受けて身代金を支払っているケースがある。なぜなら、支払うことで暗号化されてしまったシステムを元通りにできる可能性があるため、被害を受けたシステムを全て入れ替える莫大なコストを避けられるからだ。

　もっとも、身代金を支払っても、元通りに復旧できる保証はない。さらに、一度支払うとまた同じ攻撃者が足元を見て追加の支払いを要求する場合もある。

　一部の専門家が、一度身代金を支払うと、他のサイバー犯罪者に情報が回って、再び別のランサムウェア犯罪者の被害に遭うかもしれないと指摘しているが、その可能性は低い。なぜなら被害に遭った企業はセキュリティを強化してシステムを頑丈にする可能性が高いからだ。過去に、同じ企業が別のランサムウェア犯罪者の攻撃を受けたというケースは、筆者の知る限りは聞いたことがない。

●企業の判断にメディアが与える影響

　さらに今回は、企業内部での問題が指摘されている。NewsPicksの記事では、ドワンゴが多額の身代金を取締役会などにかけることなく支払ったことが企業として問題だと示唆している。だがそれも、危機管理や企業存続のための問題解決策として迅速な対応が必要だったということであれば、事後報告になるのは致し方ないといえるだろう。

　筆者が取材したことがある身代金を払った企業も、攻撃者との交渉の際にすぐに支払える金額が議論になっていた。企業にとっては、いくつもの会議をして支払うべきかどうかを議論している間に、ビジネスが動かないことでどんどん損失額は膨らんでいく。判断を間違えれば、会社がつぶれる可能性もある。

　そして民間企業が、支払いの是非を決めたり、その判断を現在進行形で下したりするのに、外野のメディアが影響を与えるべきではない。そう考えると、今回のNewsPicksの記事はやりすぎの感がぬぐえない。

　筆者もこれまで、政府機関や医療機関、大手民間企業などへのサイバー攻撃で、他のメディアが報じていない（またはまだ情報をつかんでいない）段階でその実態を記事にしたこともあるし、システム障害が実はランサムウェア攻撃だったことを報じて問題提起したこともある。ただ進行中の情報を得た場合でも、状況がある程度落ち着いてから報じるようにしてきた。交渉の是非や進展をできる限り確認するように努めてきた。

　加えて、被害組織が民間企業なのか公的機関なのかによっても大きく違う。公的機関なら身代金の支払いに税金が使われることになる可能性があるので、そこにはメディアの監視という作用が働く。公益性も生まれる。