アリかナシか、ランサム攻撃の身代金支払いと交渉 有識者たちの見解は……

　“迂回”の中には、ベンダー経由で身代金を支払うことも込みの「復旧費」として、ベンダーが金銭を要求するケースもあるようです。復号するためのツールが提供されてない段階だったら30万円と言われ一旦断ったそうなのですが、しかし、それがリリースされた後に5万円でどうですか？　という連絡が来たらしいんですよ。このケースでは結局攻撃者にお金が渡ってしまうんですね。しかし、ここに対する規制はない。

北條氏：被害を受けて復旧を依頼する側が身代金の支払いを了承していないのに、復旧事業者にだまされて勝手に支払われたのであれば詐欺の可能性がありますね。他方、だまされていなければ依頼企業も了承して身代金を支払っていることになります。前者でなければ復旧事業者と依頼企業との間で犯罪は成立しないので、何が問題になるか、ということになりますね。

　例えば、被害を受けて復旧を依頼する企業がサイバー保険に加入していて「身代金は補填しない」と約款に記載されているにもかかわらず、身代金を支払った金額も含めて「復旧費」として請求し、保険金が支払われてしまうと、被害を受けた企業と復旧事業者とが一緒に保険会社をだましている可能性があるという問題もあります。

　本来であれば、どういう形で復旧したのかを保険会社がチェックすべきだと思いますが、多分そこまで手が回ってないか、チェックする機能がないか、約款に反する復旧方法があるという発想がないのかもしれません。そのあたりが謎のまま、明確にならず保険金が支払われて終わっちゃっているかもしれないですね。

辻氏：セキュリティベンダーによるランサム事案に関するレポートがさまざまなところからリリースされていますが、それが結果的に攻撃者に利する行為になったこともあります。

　ロシアで実刑判決を受けたメンバーがいた「REvil」というランサムギャングは、あるセキュリティベンダーのレポートを引用して「セキュリティベンダーのレポートでも、われわれに身代金を支払えば100％戻るというお墨付きがある」と利用されてしまった。なかなか難しいです。

●不足するナレッジ、曖昧になるインシデントレポート

──話を聞いていると、ランサムウェアというインシデント対応時の、組織としての判断を行うための情報が圧倒的に不足しているのではないかと感じます

北條氏：情報が不足しているのは被害を受けた企業だけじゃなく、セキュリティベンダーも同じじゃないかと思います。新規に参入した中規模のセキュリティベンダーもたくさんありますからね。