アリかナシか、ランサム攻撃の身代金支払いと交渉 有識者たちの見解は……

北條氏：マルウェアの解析には強かったとしても、そういうランサムウェアグループをきちんと定点観測しているベンダーっていうのは少ないかもしれません。継続的に深く情報収集をしているのは、辻さんとか数人ぐらいじゃないんですか（笑）？

辻氏：何人いるかは分からないですけど、分析はしていても「発信」はそれほどされてないですよね。それはないのと一緒だと思うんですよ。加えて誤った情報が広まることもありますし、時間がたって情報が陳腐化していることもあります。

北條氏：ランサムウェアの被害に遭った企業が依頼して調査したベンダーからのレポートは、私から見ても足りない情報、古い情報が散見される。“お客様”から見れば立派なレポートに見えるかもしれないけど、私から見ると、何を意味しているんですか？　なぜこの結論になったのですか？　この結論の裏付けはあるんですか？　このように考えることもできるのではないですか？　という内容がよくあります。

　多分、他の被害に遭った企業に助言しているセキュリティに明るくない弁護士の方々は、調査レポートをきちんと確認できていないかもしれず、そのような問題のあるレポートに気付けていないのではないか、とも思います。この辺りは弁護士も知識を付けてほしいところです。

辻氏：グローバル化が進んで、ベンダー使ってインシデントのレポートを世界の各地域で上げてもらうと、そのレベル感が違うんですよ。同じ攻撃グループなのに、レポートの書きっぷりが全然違うことも多い。

北條氏：このようなベンダーからのレポートに基づいて、被害に遭った企業が公表しているリリースなどにおいて最近散見されるのが「情報漏えいの事実は確認されておりません」という表現。これは本当に気になっています。

辻氏：僕がつい反応してしまう言葉ですね！