アリかナシか、ランサム攻撃の身代金支払いと交渉 有識者たちの見解は……

　ただし「何も考えずに取りあえず払っちゃえばいい」という発想はかなり問題があります。多額の身代金を支払ったのに、全てのデータを復元できなければ、暗号化されたデータに加え、支払った身代金も会社の損害になります。

　まず、法的な問題の可能性についてです。ランサムウェア攻撃によって会社に損害が生じた場合、経営者らの責任として、誰が損害賠償を請求するかというと、日本国内の上場企業だと株主が挙げられます。これまでランサムウェア被害による訴えは起きていないと思いますが、株主が代表訴訟を提起して、身代金を支払ったことによって会社に生じた損害を経営者らは支払え、と請求することです。

　非上場企業の場合でも株主は存在しますので、株主代表訴訟による経営者らへの責任追及はあり得ます。ただ、株主が創業者や経営陣しかいない場合も多く、その場合、責任追及はされないと思いますが、例えば当該企業に融資をしていて、ランサムウェア攻撃を受けて身代金を支払ったことを融資元が知ったら問題になるかもしれません。

　銀行などの融資元が、ランサムウェア攻撃によって情報が暗号化されたから身代金を支払った事実を知った場合、もしかしたらその融資したお金を回収したり、追加の融資が見送られたりするかもしれません。非上場企業のうち中小企業が怖いのは、取引先からの契約打ち切りもありますが、融資元の方々がどういう見方をするかという視点もあるのではないでしょうか。

　ただ、いずれの企業でも、経営者らへの責任追及の問題があるために“こっそり支払い”が生じる可能性があります。ランサムウェアの被害に遭って、経営者らが、「自分が責任を取らされるかもしれない」となった場合に頭をよぎることは、「身代金を支払えば、全てなかったことになるかもしれない」という考えです。まさにこの思考がランサムウェアグループの「思うつぼ」なのです。絶対に表に出ないよう情報統制をして、バレなければ良いと思い、実は支払っているパターンは意外と多いのではないかと思っています。

　データが復元できずに身代金を支払った場合、一部の従業員は知ることになり、自分の会社は身代金を支払ったなどとSNSに投稿したり、誰かに伝えたりして、何らかのきっかけで表に出るかもしれません。身代金を支払ったのに暗号化されたデータの一部しか復元できない可能性もあります。

　そうなった場合、多額の身代金を支払ったことや事業が停止したことによる損害に加え、事前の対策ができていなかったことが原因なのに隠蔽しようとしたとしてニュースなどで取り上げられて企業の評判という意味では相当のダメージがあると思います。