サイバー攻撃を受けて情報漏洩(ろうえい)が発生しているKADOKAWA。攻撃を仕掛けるハッカー集団は、同社と行っている身代金に関する交渉で合意に至らなければ、ダウンロードした同社の情報を公開するとしていたが、7月1日に情報漏洩が確認されたため、同社は身代金に関する要求に応じなかったとみられている。一連の事態を受け、身代金の要求に応じるべきだったのか否かをめぐり議論を呼んでいる。また、ニュースサイト「NewsPicks」がKADOKAWAとハッカー集団の身代金をめぐる交渉の詳細を報じたことが同社の判断に影響を与えた可能性も指摘されている。今回の情報漏洩によって同社およびユーザ、取引関係者などがどのような被害を受ける可能性があるのかも含め、専門家の見解を交えて追ってみたい。
KADOKAWAに対してランサムウェアを含むサイバー攻撃を行ったとする犯行声明を出していた「BlackSuit」は、同社のネットワークを暗号化し、従業員やユーザの情報などを入手しており、同社が身代金の支払いに応じなければ7月1日にも盗んだデータを公開すると主張していた。同日には従業員の個人情報や取引先情報などの漏洩が確認され、2日には同社はハッカー集団が追加で情報を流出させたと主張していると発表した。同社が現時点(7月3日)で外部流出している可能性が高いとしている情報は以下のとおり。
・社外情報
学校法人の角川ドワンゴ学園が運営するN中等部・N高等学校・S高等学校の在校生・卒業生・保護者のうち、一部の方々の個人情報
ドワンゴが取引する一部のクリエイター、個人事業主および法人との契約書
ドワンゴの楽曲収益化サービス(NRC)を利用している一部のクリエイターの個人情報
ドワンゴの一部の元従業員が運営する会社の情報
・社内情報
ドワンゴ全従業員の個人情報(契約社員、派遣社員、アルバイト、一部の退職者含む)
ドワンゴの関係会社の一部従業員の個人情報
ドワンゴの法務関連を始めとした社内文書
このほか、取引先との契約書・見積書、社内向け文書なども流出したとみられる。
必ずしも「身代金を支払ってはいけない」とはいえない
コンピューターセキュリティインシデントに対応する情報提供機関であるJPCERT/CCは、国際的な基準としてはハッカー集団に対して身代金を支払うべきではなく、交渉もすべきではないとしている。中堅IT企業役員はいう。
「事態が進行中なので、現段階では身代金の要求に応じて情報漏洩を防ぐべきだったのか、もしくは要求を拒否したのが正しかったのかは判断できません。情報の漏洩によってKADOKAWAやユーザ、取引関係者らがどのような損害をどのレベルで被るのか、もしくは損害が限定的なものにとどまるのかによるでしょうし、KADOKAWAに対して法的に損害賠償を求める動きが出るのかどうか、損賠賠償が認められるのかにもよるでしょう。
もし情報を流出させられた場合に自社およびユーザ、取引先が被る被害・経済的損失が、身代金の金額よりも高いと考えられれば、つまり身代金の要求に応じたほうが損失が小さいと考えられれば、応じるという経営判断は合理的です。必ずしも『身代金を支払ってはいけない』とはいえないでしょう。経営陣としてはギリギリの状況で難しい判断を下し、のちに株主をはじめとするステークホルダーからの評価によっては最終的には辞任するかたちで責任を取る可能性もあり、その覚悟のもとで判断をするわけなので、外部がどうこう言う話ではないでしょう」
