身代金を支払うことの是非

 今回の事案をめぐっては、企業がサイバー攻撃を受けた際に身代金を支払うことの是非も議論となった。6月22日にはニュースサイト「NewsPicks」が『【極秘文書】ハッカーが要求する「身代金」の全容』と題する記事を配信し、同社とハッカー集団の交渉内容を報道。これを受け、KADOKAWAは強く抗議する声明を発表するという事態も起きた。

「ケースバイケースです。攻撃者に身代金を支払うと、その攻撃者の攻撃能力が増して新たな被害者が生じることにつながる恐れがあるため、一般論としては『支払うべきではない』とされてはいますが、盗まれたデータの種類やユーザ・取引先への影響度合い、経営・事業の継続性への影響度合いにより、個別に企業の経営陣が判断することになります」(日本プルーフポイント チーフエヴァンジェリストの増田幸美氏/7月18日付当サイト記事より)

 セキュリティ会社・Cohesity Japanは7月30日、企業のIT・セキュリティ責任者302人を対象とした、サイバー攻撃からの復旧に関するアンケート調査結果を発表。回答者のうち79%が「データの復旧とビジネスプロセスの復元、またはその迅速化のために身代金を支払う」と回答し、70%が過去1年間に身代金を支払ったことがあると回答している。

 コンピューターセキュリティインシデントに対応する情報提供機関であるJPCERT/CCは、国際的な基準としてはハッカー集団に対して身代金を支払うべきではなく、交渉もすべきではないとしている。また、米国の財務省外国資産管理室(OFAC)は、OFACの制裁対象組織リストにあるハッカー集団に身代金を支払った場合は制裁対象となるとしており、日本企業も処罰の対象となる可能性がある。

「原則としては支払ってはいけないとなっているものの、情報を漏洩されることによって被る損失よりも身代金の金額のほうが低いとなれば、経営判断として身代金を支払うという選択はありといえる。漏洩を起こされれば、社内のみならず社外の多くの取引先やユーザにも悪影響がおよぶので、支払ったからといって社外から批判をされるべき話ではないし、支払ったのかどうかを公表する義務も必要もない」(中堅IT企業役員)