会社がランサムウェア攻撃を受けたらどう対応する？ 「事業継続」に関わる重大リスクに、専門家2人が提言

──いまランサムウエア攻撃について関係者の間で大きな話題になっていることの1つに、ランサム（身代金）を支払うかどうかがある。

山岡　ランサムウエアの身代金を支払うことの適法性が問題になります。アメリカの場合は、財務省外国資産管理局が重要です。日本では、現在のところ外為法規制も関わってくる。いずれにも共通するのは、そこに列記された集団に対して身代金を払ってはいけないということです。

24年6月、KADOKAWAグループに対して大規模なランサムウエア攻撃が行われ、傘下のドワンゴなどのサービスの多くが提供できなくなった。25万人分の個人情報が漏洩し、25年3月期に35億円の特別損失を計上する事態に　AFLO

仮に支払うことが法律に抵触しないとして、次に問題となるのは支払いをするかどうかですが、テロや戦争に資金が流れる危険があるため反社会的勢力に金銭的な価値を提供するのは望ましくありません。

ただ、懸念しているのは、現状ここで議論が止まっていることです。これまでどちらかと言うと、「身代金を支払うことはけしからん、議論すること自体あり得ない」という感じで、身代金を支払うかどうかについて議論することも憚られる状況でした。

しかしながらが、身代金の支払い関する受け止め方は少しずつ変わりつつある印象です。米パロアルト社の調査結果によると、身代金について10％が「支払いはやむを得ない」、49%が「その状況にならないと分からない」という回答でした。

そのためか、ランサムウエア攻撃を受けて身代金を要求されたときに備え、どう対応すべきかを検討する企業が増えてきました。事業継続に関わるリスクである以上、少なからず平時から議論しておこうという変化を感じます。

大原則として身代金は支払わないとした上で、仮に支払わざるを得ない場合があるとしたらどういう場合か、人命が関わる場合か、社会インフラが停止する場合か、基幹システムが停止する場合か、そして支払わざるを得ない場合は捜査当局とどのように連携すべきか、といった点が議論されるようになってきました。

中谷　インシデントが発生した際には、企業は個人情報の漏洩があったかどうかに関係なく、攻撃に起因する被害についてまず政府に報告するというのが大前提ではないでしょうか。アメリカのように、この報告については義務化したほうがいいでしょう。特定のテロリスト集団に身代金を支払うのは法律上NGですが、LockBit等のサイバー犯罪集団に身代金を支払うかどうかは、支払わないで解決する方法を考えることを前提に経営判断、事業継続の問題として考えることが重要です。