ハッカー集団からマルウェアを含むサイバー攻撃を受け情報漏洩が起きているKADOKAWAは12日、ハッカー集団が公開した情報の拡散行為を行う者に刑事告訴・刑事告発をはじめとする法的措置を取る方針を表明した。250人体制でシステムの再構築に取り組むなか、システムのセキュリティに関する高いスキルを持つエンジニアに月額報酬300万円を提示して採用しようとしているとの報道も出ているが(11日付「SmartFLASH」記事より)、求人サイトでも全社的なセキュリティ対策のマネジメントを担う人材を応募しており、従前からの同社のセキュリティ対策面での人的投資・体制整備が疎かになっていたのではないかという指摘も出ている。
KADOKAWAにサイバー攻撃を行ったとする犯行声明を出していたロシアのハッカー集団とみられる「BlackSuit」は今月1日、同社の従業員の個人情報や取引先情報などを公開。3日にはダークウェブ上に公開していた同社への犯行声明を削除したが、12日には同社はリリースを出し、グループ会社のドワンゴや⾓川ドワンゴ学園に関する情報がX(旧Twitter)やネット掲示板、まとめサイトなどで拡散されていると報告。「悪質と認識した書き込みを⾏った発信者に対して、SNSおよび匿名掲⽰板の運営者に発信者情報開⽰請求を開始しました。これにより、特定した発信者には厳正な法的措置を講じる準備を進めております」「悪質性の⾼い情報拡散者に対しては、証拠保全の上、削除済みの書き込みも含めて刑事告訴・刑事告発などの法的措置に向けた作業を進⾏中です」としている。情報漏洩に関するお問い合わせ専⽤窓⼝を設置するほか、横断対策チームでの巡回監視なども行っている。
身代金を支払うか否かの判断
本事案を受けて議論を呼んでいるのが、企業などがハッカー集団から攻撃を受けた際に身代金を支払うべきか否かという点だ。コンピューターセキュリティインシデントに対応する情報提供機関であるJPCERT/CCは、国際的な基準としてはハッカー集団に対して身代金を支払うべきではなく、交渉もすべきではないとしている。また、米国の財務省外国資産管理室(OFAC)は、OFACの制裁対象組織リストにあるハッカー集団に身代金を支払った場合は制裁対象となるとしており、日本企業も処罰の対象となる可能性がある。6月22日にはニュースサイト「NewsPicks」が『【極秘文書】ハッカーが要求する「身代金」の全容』と題する記事を配信し、同社とハッカー集団の交渉内容を報道。これを受け、KADOKAWAは強く抗議する声明を発表するという事態も起きた。
一般的にサイバー攻撃を受けた企業などは、身代金を支払うか否かの判断をどのような基準で行うのか。ウェブサービス企業の役員はいう。
「情報が公開されるとユーザなどの外部の関係者に大きな被害がおよぶ場合などは払うこともあるでしょうし、情報が公開されることによって被る損失より身代金の金額のほうが低いとなれば、支払うという判断もありでしょう。個々の事案に対する経営判断ということになるので、仮に支払ったとしても外部から批判を受けるべきことではありませんし、支払ったのかどうかを外部に公表する必要もありません」
