アリかナシか、ランサム攻撃の身代金支払いと交渉 有識者たちの見解は……

参考記事：名古屋港攻撃のランサムウェア集団「LockBit」、主要インフラ無力化　ユーロポールが主導　警察庁も復号ツール開発などで協力

　プロフェッショナル集団ではない行儀の悪い人たちがどんどん参入してきたことによって、身代金を支払った後のことをどこまで信用できるのか……。その部分が、私の中ではもやもやしています。その状況で、企業として身代金を支払うという判断が本当に正当化されるのか？ということになる気もしています。

辻氏：かつてのランサムギャングの中には、自分たちの信念とか信条のような、こうあるべきという姿が多分あったと思うんですよね。ある意味でのビジネスとして。でも、自分たちで開発したものではない、流出したランサムウェアのビルドツールを使うだけのグループが登場しています。業界の参入障壁がどんどん下がっていくと、古くからの攻撃者は「最近のランサムギャングは」みたいな感じになってきているのだと思います。

　中には原点回帰と言わんばかりのルール。例えば、身代金を支払った標的を再度攻撃してはならないといったようなものを掲げている「RansomHub」のようなランサムギャングもいるにはいますが。

　以前から追いかけている（インターネット上のハクティビスト集団）「Anonymous」も似た道をたどってきました。最初はプライバシーを守るとか、弱者を守るとか、検閲なんてもっての外だという主張を持っていたけれど、新しいメンバーに行動の理由を聞いたら「今までタダで読めていた漫画が読めなくなるから」って。そういうのが混ざり始めると、（ランサムギャング）全体の信用が失われていくってことはあると思います。

●併発する問題たち　世論の反応、保険会社の対応力……

辻氏：あと、日本では身代金を払うこと自体を“たたく”文化があるじゃないですか？　逆に言うと「払わなかったところは素晴らしい、英断だ」みたいな。病院とか命にかかるところは払ってもいいっていう意見はありますが。

　ただ、医療業界に限らず、普通の人だって攻撃により生活が奪われる可能性があるじゃないですか。ランサム被害によって出た損害の影響が人件費に出て、最悪の場合、契約が解除されてしまったり。その人やその家族の生活を奪いかねません。だから、僕はどっちも一緒だと思っているんです。それをたたき過ぎると、結局こっそり払う、迂回して支払うという事態になりかねない。