会社がランサムウェア攻撃を受けたらどう対応する？ 「事業継続」に関わる重大リスクに、専門家2人が提言

大事なのは、同じ被害の発生を防止するために、サイバー攻撃の被害にあった企業が攻撃者とのコミュニケーションを被害者として捜査当局に共有して、犯人逮捕に向けて協力をすることです。アメリカでは身代金を支払う企業は少なくないと言われますが、捜査機関等関係当局に報告をしていると聞いています。ただし、考慮すべきは、一度身代金を支払うとサイバー攻撃者の間で流通しているいわゆる顧客リストに載ってしまい、他の犯罪組織集団に情報共有され、何度もサイバー攻撃を受ける危険性はあります。

山岡　万が一支払わざるを得ない場合に黙って支払いをすると、さらに犯罪を助長する可能性があります。例えば、ハッカーに支払いをするために外部のエージェントに依頼する。すると、そのエージェントとハッカーがつながっていたりするケースもある。そういう意味でも、警察と情報を共有して連携することは非常に重要です。

中谷：まさに、その通りだと思います。企業にとっては社会的価値が問われる場面ではないかと。犯罪者に身代金を渡すというのは本質的には反倫理的なことです。それゆえ、経済的価値と社会的価値を比較考慮した上で、事業の中断という企業の存続や医療上の人命に関わるものであり、緊急避難として支払いをするという判断を攻撃者とのやり取り情報を含めて事前に捜査当局に共有すれば、将来の同種事案の対策に資することになるので、多くの人から理解を得られるのではないでしょうか。

──いま日本ではアクティブ・サイバー・ディフェンス（能動的サイバー防御＝ACD）の議論が深まってきており、石破茂政権も法案を国会提出に向けて作業を加速するよう指示している。ACDをどう見ているか。

中谷　まず、ACDの前提となる日本のサイバー空間に入ってくるパケット（データ）監視は「サイバー空間の国境管理」と見るべきだと思います。人が入国する際にはパスポートチェックがある、モノが到着するときには税関、検疫がある。海外からの送金でも日本の銀行がチェックする体制があります。ところが国外から来るパケットには悪意があるものが多数あるにもかかわらず、ノーチェックで自由に日本のサイバー空間に入ってくるのが現状ではないでしょうか。

海外から来るパケットは他の主要国並みにチェックし、悪意あるものを見つけましょう。パケット攻撃が国内に着弾したら、どこから来たのか後からトレースできるような体制を整備しましょう。そして、どこから来るのかが分かる場合には、事前に対策を立てて防御できるようにしましょう、ということだと思います。また、日本から海外に出ていくパケット監視も同様に考えられると思います。