支払うべきなのか
ランサムウェア犯罪集団に身代金を払うべきか、払わないべきか。
自問自答するまでもなく、身代金を支払わないことが原則だ。
まず日本国内では、公序良俗に反する観点から、身代金支払いに対する社会の許容度は低いとみるべきだろう。事実、22年6月中旬時点で、日本の大手企業が身代金を支払ったと報じられた事案はない(支払っていない、という意味ではない)。万が一、日本国内で初の大規模支払い事案と報じられた場合、その後、世界中の犯罪者が被害企業はもちろん、ますます日本「市場」を狙う可能性がある。
近年では、暗号化に加えて、盗んだ機密情報を暴露するという脅迫も増えている。しかし、攻撃者が盗んだ情報を暴露するかしないかに関わらず、情報が漏洩した事実は変わらない。
日本国内では、ランサムウェア攻撃者への支払いを禁じる法律はないものの、諸外国では違法となる恐れがある。米財務省外国資産管理室(OFAC)が定めた制裁指定対象に金銭を支払った場合、企業は民事罰を科されるリスクがある。OFAC制裁指定対象のランサムウェア集団の数はそれほど多くないし、実際に民事罰を受けるか否かは分からないが、少なくとも重大なレピュテーションリスク(企業などの評判を下げる危険性)としてはとらえるべきだ。
もちろん、一般論として、支払い要否の検討が許容されるケースもあるだろう。人命にかかわる状況や電力・通信等の事業継続の期待度が極めて高い状況だ。
しかし、医療機関ですら、身代金に支払わないことを判断する中、支払いが許容される状況は日に日に小さくなっていると考えるべきだろう。
徳島県つるぎ町立半田病院はランサムウェア感染の結果、約2カ月にわたって通常機能の一部が停止した。22年6月7日公開の調査報告書によれば、半田病院は、(そもそも本件で身代金要求はなかったものの)支払わないことを正式に決定し、支払った事実もない、という。多くの経営者や担当部門は、電子カルテのデータにアクセスできないという深刻な状況であっても、医療機関が支払わないことを正式決定したという事実に注目すべきだ。
経済的動機ではないランサムウェア攻撃
ランサムウェア攻撃の多くは金銭目的であると考えられてきたし、現在もそうだろう。実際、ランサムウェア集団自らが攻撃の目的は金銭であり、地政学的競争に関心はないと繰り返し主張してきた。そのため、米国企業をはじめ、身代金支払いの費用対効果を考慮して、ビジネスライクに対応する企業は少なくはない。
しかし、経済的動機とはいえないランサムウェア攻撃があることも事実だ。
ロシア政府がランサムウェア犯罪集団を積極的に支援しているハードエビデンスはないものの、専門家らは従来から、旧ソ連で構成する独立国家共同体(CIS)諸国や東欧を中心とするランサムウェア集団とロシア当局の関係を疑ってきた。
ロシア連邦保安庁(FSB)は22年1月、米国政府からの要請もあり、ロシア国内でランサムウェア集団「REvil」の構成メンバー14人を逮捕した。これは、ロシア当局に一部のランサムウェア集団を監視・追跡できる能力があることを証明する。ロシア当局がこれまでランサムウェア集団を意図的に「野放し」「看過」してきたという分析の根拠となるだろう。