アリかナシか、ランサム攻撃の身代金支払いと交渉 有識者たちの見解は……

　昨今の被害状況を見れば分かる通り、サイバー攻撃、特にランサムウェアの脅威は、業種も企業規模も無関係にやってくるようになった。それに伴い、技術やシステム構成による防御だけでなく、人と組織の課題に目を向けることも重要になりつつある。

　組織の力やセキュリティ統制の仕組み、加えて法の解釈や規制の理解も、セキュリティを形作る大事な要素だ。中でも関心が集まりやすいのは「身代金、支払うべきか、拒否するべきか」という課題だろう。

　ポッドキャスト「セキュリティのアレ」のメンバー・辻伸弘氏と一緒に、セキュリティに携わる人たちを訪ね、その未来を語る本連載。第2弾となる今回は、この「身代金、支払うべきか、拒否するべきか」という課題に注目していこう。

　今回の対談相手は元警察庁技官で弁護士。西村あさひ法律事務所・外国法共同事業のパートナーで、サイバーセキュリティ・インシデント対応の豊富な経験を持つ北條孝佳弁護士を招いた。法律のスペシャリストがセキュリティの視点を加え、「身代金支払い」「インシデント対応時の組織としての判断」「法律のこれからに感じる課題」を語る。その対談の様子を前後編でお届けしよう。

●身代金、どこまで支払うべきか、拒否するべきか

──まず、日本の企業が対応に苦しんでいるランサム事案について触れていきたいと思います。脅迫に対する身代金の考え方について、お二人の意見は

辻氏：僕のスタンスは、2019年ごろの二重脅迫といわれるランサムウェアが登場したときから基本的には変わってなくて、身代金は基本的に支払わないに越したことはないが、支払わざるを得ない場合もあるんじゃないかと思っています。もちろん、バックアップはしておくべきとも言い続けていますが。

　また、データを元に戻すための支払いに加えて、リークサイトに公開されるのを止めるための支払いというのもあり得ると思います。奪われたデータをきちんと消してもらうための身代金ではなく、リークサイトに掲載されないことを目的とした代金ですね。最近はリークサイトに掲載されたことをメディアも取り上げるじゃないですか。そこにみんながわーっと行ってダウンロードしてしまうと、ランサムギャングが奪ったデータであるという、中身の保証がある程度ついてしまう。

　リークサイト掲載を取り下げることに対してお金を払うっていうのは、まあアリじゃないけど、ナシよりのアリみたいな。

北條氏：私も暗号化されてしまったデータのバックアップがない、あるいはバックアップも暗号化されてしまい、そのデータが復元できないと事業が立ち行かなくなるなどの場合には、データを復元するための支払いを否定するわけではありません。