さらにロシアによるウクライナ侵攻をきっかけに、あるランサムウェア集団とロシア当局との繋がりが示唆された。早い段階で、ロシア側に立って「参戦」すると宣言(その後、立場を修正)した「Conti」グループでは、ロシア系とウクライナ系のメンバーの対立から、約6万件の内部メッセージが漏洩した。Conti幹部同士のもののとされるやりとりは、ContiがFSBからの依頼を請け負ってきたことを示唆するものもあった。
加えて、ランサムウェア攻撃がサイバー諜報活動・産業スパイ活動といった本来の目的を偽装すること、経済的動機を装ったスパイ活動も懸念事項だ。セキュアワークス社の調査結果によれば、中国のサイバー攻撃集団「Bronze Riverside」および「Bronze Starlight」がその情報収集活動を隠すために、既知のランサムウェアコードを用いている可能性が示唆される。ランサムウェア攻撃は、侵害や活動の痕跡を消し、証拠保全や調査を困難にし、何よりも被害企業の対応リソースを分散させることができる。
こうしたランサムウェア攻撃は、全体に占める割合は大きくはないものの、ビジネスライクな判断が通用しないことは間違いない。
最も重要なことはアカウンタビリティ
さて冒頭のブラウントCEOは、ランサムウェア事案後、米議会上下院に呼び出されて、4時間超の質問責めにあった。「事前の備えは十分だったのか」「なぜ支払うという決断に至ったのか」「外部公表が遅れたのはなぜか」などだ。
結局のところ、身代金支払いに関するブラウントCEOの判断結果が正しかったかどうか、外部からは評価できない。
正確にいえば、ブラウントCEO自身さえも分からないことが多い中(不確実性が大きい中)、判断を迫られたはずだ。自力でシステム復旧できるのか。どれくらい時間はかかるのか。複合化キーは機能するのか(なお、コロニアル・パイプライン社は身代金を支払って手に入れた複合化キーを用いず、バックアップシステムを用いて復旧に成功した)。
身代金支払いについては、「支払わない」との判断も批判が想定される。従って重要なことは、判断結果そのものではなく、判断に至る過程と根拠であり、アカウンタビリティ(説明責任)である。
例えば、「二重脅迫」型のランサムウェア攻撃は対象の暗号化に加えて、個人データ等の機微情報を盗み、暴露すると脅迫する。身代金支払いに応じず、個人の機微データが暴露された場合、一番悪いのは攻撃者だ。しかし、世間や個人データ主体は「不特定多数への情報暴露は、企業が身代金を支払わらなかった結果」と認識する恐れがある。
支払うにせよ、支払わないにせよ、経営判断に対する少なからずの批判・非難は生じるだろう。その際、投資家や消費者・取引先などのステークホルダーに可能な限り理解を得られる判断プロセスや根拠があるかどうかが重要だ。
身代金支払いの要否を誰が決めるのか。CISO(最高情報セキュリティ責任者)に会社のいかなるシステムを緊急停止させる権限があったとしても、必ずしも身代金支払いの権限まであるわけではない。業務執行の権限なのか、取締役会の権限なのか。誰の権限かは、身代金要求額の多寡によるかもしれない。
事実、事業会社ではなく持株会社が判断すること、臨時取締役会を開催することを検討している企業もある。
