KADOKAWAにサイバー攻撃を行っていたとみられるハッカー集団は7月3日、ダークウェブ上に公開していた同社への犯行声明を削除した。ハッカー集団は、同社と行っていた身代金に関する交渉で合意に至らなければ、ダウンロードした同社の情報を公開するとしていたが、7月1日に情報漏洩が確認された。一連の事態を受け、企業は身代金の要求に応じるべきなのか否かをめぐり議論を呼んでいるが、一般的に企業はどのような基準で判断しているのか。また、今回漏洩している情報は社員・ユーザなどの個人情報、取引先との契約書・見積書などだが、どのような被害が想定されるのか。専門家の見解を交えて追ってみたい。
KADOKAWAに対してランサムウェアを含むサイバー攻撃を行ったとする犯行声明を出していた「BlackSuit」は、同社のネットワークを暗号化し、従業員やユーザの情報などを入手しており、同社が身代金の支払いに応じなければ7月1日にも盗んだデータを公開すると主張していた。同日には従業員の個人情報や取引先情報などの漏洩が確認され、2日には同社はハッカー集団が追加で情報を流出させたと主張していると発表した。同社が7月3日時点で外部流出している可能性が高いとしている情報は以下のとおり。
・社外情報
学校法人の角川ドワンゴ学園が運営するN中等部・N高等学校・S高等学校の在校生・卒業生・保護者のうち、一部の方々の個人情報
ドワンゴが取引する一部のクリエイター、個人事業主および法人との契約書
ドワンゴの楽曲収益化サービス(NRC)を利用している一部のクリエイターの個人情報
ドワンゴの一部の元従業員が運営する会社の情報
・社内情報
ドワンゴ全従業員の個人情報(契約社員、派遣社員、アルバイト、一部の退職者含む)
ドワンゴの関係会社の一部従業員の個人情報
ドワンゴの法務関連を始めとした社内文書
このほか、取引先との契約書・見積書、社内向け文書なども流出したとみられる。これにより、一部の「ニコニコ動画」(ドワンゴ運営)配信者の本名など個人情報の流出も起きている。
身代金を支払うことは許されない
企業・組織はハッカー集団から身代金を要求された場合、応じるか否かをどのような基準で判断するのか。セキュリティを専門とする弁護士はいう。
「ハッカー集団に身代金を支払うことは、反社会的勢力に利益を供与することを意味します。加えて、供与した資金によってハッカー集団のハッキング技術が向上し、企業に対する攻撃能力が増す可能性があるため、企業の義務として、身代金を支払うことは許されません。米国の財務省外国資産管理室(OFAC)は、OFACの制裁対象組織リストにあるハッカー集団に身代金を支払った場合は制裁対象となるとしており、日本企業も処罰の対象となる可能性があります。攻撃を受けた企業は弁護士などの助言を受けながら対応を行い、経営陣がしかるべき手続きを踏んで意思決定を行うため、基本的には身代金は支払いません。
例外としては緊急避難的な措置として、例えばインフラ企業などが攻撃を受け、システムの稼働が止まると多くの住民の生活が困難に直面するようなケースが挙げられます。また、情報システム部長などが経営陣の許可を得ず独断で支払ってしまったり、海外の現地子会社が勝手に支払ってしまうというケースは稀に発生します」
損失はどのような内容・レベルが想定されるか
個人情報や営業秘密が漏えいした場合に、一般的には、企業にどのような損失が想定されるか。前出・弁護士はいう。
「企業が、情報を漏洩させられた個人に損害賠償を行う場合、データの機微性によって一人当たり数千円~数万円を支払うというかたちが一般的です。ですので、大企業がユーザの個人情報や契約に関する情報などを漏洩させただけで経営が大きく揺らぐということは考えにくいです。例えば2014年に顧客情報流出事件を起こしたベネッセコーポレーションの特別損失は最大260億円というレベルでした。
一方、流出した情報が企業の重要な技術情報や営業情報の場合、損失は算出が困難なほど甚大になる可能性があります。たとえば、製薬企業の特許情報が漏洩した場合、その情報を競合他社に知られることで売上が落ちるケースや、重要な技術情報が中国やロシア、北朝鮮などの企業・組織に渡るケースであれば、経営的に大きなダメージを受けて破綻に追い込まれる可能性も出てきます」
今後、日本企業を標的にする身代金目的のサイバー攻撃が増えると予想されるのか。前出・弁護士はいう。
「ここ数年、すでに増加しており、公表・報道されていない事件も多いです。サイバー攻撃を100%防ぐことは不可能なので、攻撃を受ける前提で日頃から対策を施しておくことが重要です。『個人情報を持たない』『データは仮名加工する』『データのバックアップを取っておく』といった基本的な対策を行っておくべきです」
NewsPicks報道の影響
KADOKAWAが対応に追われるなか、6月22日にはニュースサイト「NewsPicks」が『【極秘文書】ハッカーが要求する「身代金」の全容』と題する記事を配信し、同社とハッカー集団の交渉内容を報道。これを受け、KADOKAWAは強く抗議する声明を発表。夏野剛社長は以下のようにコメントした。
「このような記事をこのタイミングで出すことは、犯罪者を利するような、かつ今後の社会全体へのサイバー攻撃を助長させかねない行為です。Newspicksに強く抗議をするとともに、損害賠償を含めた法的措置の検討を進めてまいります。なお、本記事についてコメントすることはございません」
KADOKAWAの対応をより難しくするとして、NewsPicksには批判も寄せられた。中堅IT企業役員はいう。
「もし仮に、KADOKAWAは身代金の要求に応じたほうが自社やユーザ含めた全体での損害が小さくなると考え、要求に応じようとしていたのに、NewsPicksの報道によって世論を意識して身代金を支払うことができず、多くの重要情報が流出させられる結果につながったのだとすれば、報道の影響があったということになります。犯罪の被害者であり、当事者として対応に当たっている同社の立場をよりいっそう苦しくし、その判断に影響を与えるような報道を正当化することは難しいと考えられます」(7月3日付け当サイト記事より)
一部サービスは再開
同社では6月8日以降、動画共有サービス「ニコニコ動画」、KADOKAWAのオフィシャルサイト全体、ECサイト「エビテン(ebten)」に加え「N高等学校(N高)」「S高等学校(S高)」など広い範囲で障害が発生。同社の出版物について書店からサイト経由での発注や出庫確認ができなくなった。「ニコニコ動画(Re:仮)」「ニコニコ生放送(Re:仮)」「ニコニコ漫画」など、臨時サービスも含めて一部サービスが再開している。
同社は「当該組織(編注:=「BlackSuit」)が主張するウェブサイトへのアクセスやデータファイルのダウンロードなどの行為は、マルウェア感染などの危険がありますので、ご注意いただきたく存じます。また、上述の通り当該組織の主張内容につきましては現在調査中ですが、上記のデータの拡散は個人情報を侵害し深刻な影響を及ぼす可能性があるため、SNS等による共有はお控えくださいますよう、皆様のご理解とご協力を心よりお願い申し上げます」とのコメントを発表している。また、7月中には外部専門機関の調査結果に基づく正確な情報が得られる見通しだとしている。
(文=Business Journal編集部)
提供元・Business Journal
【関連記事】
・初心者が投資を始めるなら、何がおすすめ?
・地元住民も疑問…西八王子、本当に住みやすい街1位の謎 家賃も葛飾区と同程度
・有名百貨店・デパートどこの株主優待がおすすめ?
・現役東大生に聞いた「受験直前の過ごし方」…勉強法、体調管理、メンタル管理
・積立NISAで月1万円を投資した場合の利益はいくらになる?