IT & Information security Journal
近年、ランサムウェア攻撃が大きな脅威となっており、2024年も、5月には株式会社イセトー、6月にはKADOKAWAグループのランサムウェア被害が大きく報道されるなど、ランサムウェア攻撃者による身代金の要求への対応方法や、支払った場合に生じ得る問題などについて、議論を呼んでいます。
本記事では、「身代金の支払いは復旧のための選択肢となり得るか」「身代金を支払った場合、どのような法律に抵触する可能性があるか」「攻撃者と交渉を行うべきなのか」などの論点について、元内閣官房内閣サイバーセキュリティセンター(NISC)上席サイバーセキュリティ分析官であり、サイバーセキュリティ分野に深い知見を持つ、森・濱田松本法律事務所の蔦 大輔弁護士に聞きました 1。
蔦 大輔
森・濱田松本法律事務所外国法共同事業 弁護士
この記事のポイント
身代金の支払いを直接的に禁止する日本の法律は現状ない。ただし、外為法で制裁対象とされている組織に支払った場合や、身代金を支払うという判断が善管注意義務に違反する場合などには法令に抵触する可能性がある
ごく一部の例外を除いて、身代金の支払いは復旧の選択肢とはならない。身代金が犯罪者たちの資金源となるほか、身代金を支払ったとしても攻撃者が約束を守る保証はなく、また被害の根本原因も解決しないため。支払うことでさらなる要求を受けることもある
平時から、ランサムウェア被害に遭った場合にどのような状況であれば身代金の支払いに関する検討を行うのか、誰が、何を考慮要素として判断するのかを設けておくことが重要
ランサムウェアによるサイバー攻撃について、身代金(ランサム)を要求する攻撃者と、それに応じて金銭を支払った企業は、それぞれどのような法令に抵触する可能性があるでしょうか。
まず、攻撃者側については当然ながら犯罪が成立します。ランサムウェアを仕掛けた時点でいわゆるマルウェア罪(不正指令電磁的記録に関する罪)に抵触し、また身代金の要求によって恐喝罪に該当することになります。そのほかにも不正アクセス禁止法など抵触が考えられる法令はいろいろありますが、代表例はこうした法令です。
一方で、攻撃を受けた側が身代金の支払いに応じることを直接的に禁止している日本の法律は、現状「ない」というのが回答になります。ただし、支払いが違法となるケースがないわけではありません。その1つが、外為法(外国為替及び外国貿易法)に違反するケースです。外為法によれば、経済制裁の対象になっている国や組織、人物への支払い等には、財務大臣の許可が必要です(外為法16条)。
たとえば、北朝鮮の関係では、まず、北朝鮮に住所を有する個人、主たる事務所を有する法人その他の団体、これらの個人・法人等により実質支配されている法人その他の団体に対する支払いが、人道的な理由に基づくものを除き包括的に許可制(原則禁止)となっています 2 。そして、北朝鮮の傘下にあるといわれているサイバー攻撃集団「ラザルス・グループ」は、名指しで経済制裁の対象になっているため 3、これらの組織、人物等に対して金銭を支払った場合は外為法違反に該当する可能性があります。もちろん、攻撃者が身元を明かすことはあまり想定されないため、身代金の支払い相手が経済制裁対象かどうかがわかるケースは多くはないと思いますが、たとえば、身代金の支払いはほぼ暗号資産で行われるところ、ラザルスについては、名称だけではなく暗号資産アドレスも記載されていますので、そのアドレスへの支払いがラザルスへの支払いと評価されるという点には注意が必要と思われます。
もう1つの例外が、会社法に違反するケースです。身代金を支払うという判断に関して、経営判断の原則 4に照らして不合理だったと評価されれば、役員は善管注意義務違反として賠償責任を負うことがあります。そのため安易に支払うという決断をしてしまうと、合理性に疑問を持たれる可能性が考えられます。経営判断原則に関しては、違法行為を行う裁量は認められておらず、ここにいう「違法」は海外法令も含むと考えられていますので、身代金の支払いが、日本法のみならず海外法令に照らして違法となる場合は、経営判断以前の問題であるという点に注意が必要です。
たまに、逆の観点からの質問として、「身代金を支払わない」という判断が経営判断原則に照らして不合理とされるのではないかと聞かれることもありますが、身代金の支払いが犯罪組織への資金の提供になること、支払っても必ずしも復旧できるわけではないことからすれば、支払わないという判断が役員の善管注意義務違反と判断されるおそれは相当低いと考えます。
その他、事業者への規律ではありませんが、犯収法(犯罪による収益の移転防止に関する法律)にも注意が必要ではないかと考えます。銀行や暗号資産交換業者を含む「特定事業者」(犯収法2条2項)は、業務に係る取引において収受した財産が犯罪による収益である疑いがあると判断した場合、速やかに届出を行わなければならないという義務があります(同法8条)。ランサムウェア攻撃は、恐喝罪(刑法249条)に該当する可能性が高く、これにより攻撃者が得た暗号資産は、ここにいう「犯罪による収益」に該当する可能性が高いです。よって、身代金について暗号資産交換業者を通じて暗号資産で支払うことは、「疑わしい取引」と判断されるおそれもあるように思われます。
また、ランサムウェア被害が発生した際の関係者として、被害企業から委託された復旧事業者が注目されることもあります。これは、被害企業に対して「暗号化されたデータを復号できます!」と持ちかけて依頼を受けておきながら、実際には攻撃者と裏で交渉し、身代金を支払って復号鍵を入手しているケースがあるためです。その場合、この自称「復旧事業者」は、被害企業を騙して委託料を得たということで詐欺罪に該当し、また、攻撃者に主体的に関与したということで恐喝罪の共同正犯(※)にあたるのではないかという考え方があり 5、被害企業を支援するという建前で、実のところ攻撃者側への金銭的支援をしているのではないかという非難が聞かれるところです。最近も、「復号屋」に注意という報道が出ており、韓国では摘発された事例もあるようです 6。
(※)共同正犯:2人以上が共同して犯罪を実行し、全員が正犯となること
ランサムウェアの復号は、一部の例外を除き基本的に困難です。こうした悪質な「復号屋」に騙されないようにするため、被害企業としては、複数の団体等が連名で公開している「データ被害時のベンダー選定チェックシート」 7を活用することも考えられます。
身代金の支払いに関して、日本企業が知っておくべき海外の規制などはありますか。
たとえば、米国においてはいわゆるOFAC規制があります。これは先ほど説明した日本の外為法と同趣旨の規制です。OFAC(米国財務省外国資産管理室)は、Cyber Related Sanctions Program 8により、制裁リストに加えられたサイバー犯罪グループとの取引を禁じており、同リストに掲載されたサイバー犯罪グループへの身代金の支払いはこれに反する可能性があります。
関連して、OFACは2020年10月に、ランサムウェアの支払いを促すことに関する潜在的な制裁リスクに関する勧告を発出(2021年9月に改訂) 9しており、金融機関、サイバー保険会社、デジタルフォレンジックやインシデント対応に携わる企業など、被害者に代わってサイバー攻撃者にランサムウェアの支払いを促進する企業は、ランサムウェアを助長するのみならず、OFAC規制に違反するリスクがあるとしています。規制の対象はあくまでU.S.Person(米国市民、米国居住者、米国企業、外国企業の米国内の支店など)ですが、米国から見た外国企業(日本企業を含む)であっても、支払い等のプロセスにU.S.Personが関与していると規制対象となり得ますし、また、制裁対象者に対する経済的支援を行った者は、制裁対象となるおそれがあります。
加えて、米国では、身代金の支払いを禁止しているわけではなく、現時点では未施行ですが、重要インフラインシデント報告法(CIRCIA)に基づき、身代金を支払ってから24時間以内に当局への報告が必要となります(2025年10月までに施行)。
ランサムウェア被害に遭った場合、身代金の支払いは復旧のための選択肢となり得るのでしょうか。
私自身は、「極めて例外的な場合を除き支払うという選択肢はない」と、常々お伝えしています。その理由はいくつかあります。
まず、身代金が犯罪者たちの資金源になることで、さらなる犯罪につながりかねないということです。相手が政府傘下の国家的なサイバー攻撃集団だった場合は、なおのことです。たとえば、ロシア傘下のサイバー攻撃集団が稼いだお金が、ウクライナ侵攻の資金に充てられることもあるわけです。近年ランサムウェア攻撃がトレンドになってしまっているのは、金銭目的の犯罪組織にとっても、効率的にお金を稼ぐことができる攻撃手段となってしまっているためではないかと憂慮しています。
2点目は、身代金を支払ったとしても、攻撃者が約束を守る保証はないためです。もちろん、ランサムウェア攻撃者も「ビジネス」感覚で犯罪を行っており、約束を守らなければいずれ誰も身代金を支払わなくなってしまい稼げなくなるので、約束が履行されることもないとはいえません。しかし、約束が必ず守られると考えることは「攻撃者を信用してもいい」という前提に立つ考え方につながってしまいます。
ランサムウェア攻撃には、大きく分けて、「暗号化したデータを元に戻したければ金を払え」、そして「窃取したデータをばらまかれたくなければ金を払え」という、2つの脅迫パターンがあります。前者の場合は支払いにより復号鍵が提供され、それが使用できれば復旧できる可能性がありますが、後者の場合は身代金を支払っても、すでにデータは窃取されてしまっており被害企業の管理下を離れているので、いずれはデータをばらまかれるおそれは半永久的に残ります。これは、セキュリティリサーチャーの辻 伸弘さんと北條 孝佳弁護士がランサムウェア対応について議論した対談でも語られていたことです(以下、関連記事参照)。さらに、サイバー犯罪組織には“人事異動”もあるようですから、前任者がした約束を、後任者が守らずにデータをばらまくということも十分考えられます。相手は犯罪者であり、金銭を稼げるのであれば何でもする存在なのですから、安易に信用してはならないのです。
また、日本における情報セキュリティ対策活動の向上に取り組んでいる一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、身代金を支払っても被害を受けた根本の原因は何も解決しないとしています 10。何を原因に自社がその攻撃を受けてしまったのか、どこから侵入されたのかを解決できなければ、また同じ攻撃を受けるかもしれないということです。
さらに、一度支払う姿勢を見せてしまうと、「この会社は脅せば金を払う」というイメージを与えてしまい、さらなる攻撃や要求を受けることもあります。サイバーリーズン合同会社の調査レポート 11では、身代金を支払った被害者のうち78%が再度攻撃を受け、そのうち63%が2回目の攻撃でより多くの身代金を支払うよう脅迫されたというデータもありました。
以上の理由から、やはり私は身代金を支払う理由はないと考えます。ただし、まったく例外がないのかというとそういうわけではありません。極端な例としては、人命にかかわる場合です。仮定の話ですが、もし病院のシステムがランサムウェア攻撃を受けて止まってしまえば、予定されていた手術や検査が行えなくなったり、容体が急変して亡くなってしまう人が出てしまったりすることも考えられます。その他データを復旧できなければ会社の倒産に直結するというケースや、インフラ事業者が攻撃を受けて国民生活に多大な影響を与えてしまうようなケースなどは、最終的に支払うことが妥当かどうかはともかく、支払うかどうかを検討する必要は生じる可能性があるといえます。
ランサムウェアによりデータを暗号化され、身代金を支払うかどうかを検討せざるを得ない局面になった場合、考慮すべき点にはどのようなものがありますか。
大前提として、支払うことが違法にならないかどうかを考えなければなりません。先述のような日本法に加えて、関わる外国があればその国の規制も考慮に入れ、反していないかを確認・判断するのです。先ほど申し上げたとおり、違法だとすると、経営判断以前の問題です。違法ではないとの結論が出たら、次は身代金を支払わなくても復旧できる可能性があるかを確認します。バックアップデータがあるのであれば、脅迫に応じる必要はありませんし、場合によっては、復号手段が確立されていることもあります。たとえば、2024年2月に、ユーロポールを中心として、サイバー攻撃集団LockBitの犯罪インフラのテイクダウンに成功 12しましたが、その際、日本の警察庁はLockBit被害データ復号ツールを開発 13しています。これは非常に大きな成果ではないかと考えており、今後のさらなる活動にも期待したいと思っています。
また、データの暗号化に加えて「データをばらまく」と脅されたパターンの場合は、それによってどういう損害が生じるのかを、つぶさに分析しなければなりません。盗られたデータに個人情報や取引先の営業秘密が入っていれば、損害賠償を請求されるかもしれないですし、クレームが殺到して対応に追われた場合にビジネスが止まってしまうかもしれません。どれだけの損害が発生するのかを分析・検討する必要があります。そして、先ほど述べたとおり、データをばらまくと脅された場合、身代金を支払っても今後ばらまかれるリスクは半永久的に残ることを念頭に置く必要があります。
加えて、自社が加入している保険で、損害をどこまでカバーできるのかも、検討要素の1つになり得ます。注意点としては、私が知る限り、日本の主要な保険会社が提供しているいわゆるサイバー保険では身代金の支払い額を填補できるわけではないということです。日本の保険会社が出す保険金は、サイバー攻撃に起因する第三者に対する損害賠償や、自らが負担した各種費用を補填することが可能ですが、身代金についてはサイバー保険の補償対象とならない 14点は理解しておく必要があります。
一方で、身代金の支払いについて考えるうえで、費用対効果をもとに検討する意見も散見されます。支払いによる一時的な支出と、暗号化により事業が止まることで継続的に発生し続ける損害の金額を天秤にかけるという考え方です。しかし、私は費用対効果の観点だけで判断すべきではないと考えます。先ほども申し上げたとおり、これは「身代金を支払えば攻撃者が必ずデータを復旧する」のだと、犯罪者への信頼を前提とした判断になってしまうためです。
こうした観点を踏まえて、少なくとも平時から、ランサムウェア被害に遭った場合に、組織としてどのように対応するか、また、いかなる場合であれば、(支払いに応じるかどうかはともかく)支払いに関する検討を行うかという基準は決めておくべきでしょう 。「どのような被害に遭った場合に支払いに関する検討を行うのか」「誰が、何を考慮要素として判断するのか」を決めている企業は増えてきている印象があり、私のもとにも、インシデント対応に関する規程類はすでにあるけれども、ランサムウェア被害時の対応マニュアルを固有に作成したいという相談があり、そうしたマニュアル類の作成を支援させていただくこともしばしばあります。また、ランサムウェア対応固有の問題ではありませんが、ビジネスが止まらないようにするという観点では、事業継続計画(BCP:Business Continuity Plan)の策定や、すでにあるBCPに、サイバー攻撃を発動のトリガーとする計画を盛り込む改訂を行うことも重要です。
ランサムウェア攻撃により被害を受けた企業は、攻撃者との交渉を行う必要があるのでしょうか。
私の見解としては、交渉をするということは、支払いに前向きであるということを示してしまうように思うので、基本的に交渉もすべきでないと思っています。JPCERT/CCも交渉は推奨されないとしています 15。ただ、海外では、交渉の専門家を雇うケースも見られます。その目的の1つは時間稼ぎです。たとえば「1週間以内に身代金を支払わないと、リークサイトにデータをばらまくぞ」と脅された場合に、交渉そのものに時間をかけることによって対応時間を稼いだり、期限の引き延ばしができないかを交渉したりします。また交渉を行うなかで、「データを盗った」とする攻撃者の主張が本当なのかブラフなのかを見極め、本当だとしたらどこまでのデータを盗られたのかを探り、影響範囲を特定するといったことが行われるケースもあります。
ただし、攻撃者との交渉には当然リスクを伴います。たとえば、交渉にはチャットツールが用いられることが多いようですが、そのやりとりを見ているのは攻撃者と被害企業だけとは限らず、第三者に傍受されている可能性などもあります。また、攻撃者が積極的に被害企業とのやり取りを流出させるおそれもあります。もしも犯罪者と交渉している事実やそのプロセスが外部に漏れてしまえば、積極的に支払いに応じようとしているイメージが強くなり、企業のレピュテーションに大きく響きます。その意味でも、やはり攻撃者とは交渉すら行うべきではないと考えます。
ありがとうございました。
(取材:UNITIS編集部、文:渡邊智則)
この記事は会員限定です。
登録すると続きをお読みいただけます。
このサイトはreCAPTCHAによって保護されており、
Googleの
プライバシーポリシー
と
利用規約
が適用されます。
蔦 大輔
森・濱田松本法律事務所外国法共同事業 弁護士
サイバーセキュリティ、個人情報保護・プライバシー、IT・ICTを主たる取扱分野とする。サイバー攻撃対策として、事前の体制整備等の取組、攻撃を受けてしまった後の被害拡大防止のための事後対応について豊富な知見を有する。元内閣官房内閣サイバーセキュリティセンター(NISC)上席サイバーセキュリティ分析官。慶應義塾大学大学院政策・メディア研究科特任准教授。サイバーセキュリティ法制学会理事。総務省、警察庁、経済産業省などで有識者委員を歴任。近時の著書として、「クロスセクター・サイバーセキュリティ法」(商事法務NBL連載)、『情報刑法I サイバーセキュリティ関連犯罪」(弘文堂、2022年)、『60分でわかる!改正個人情報保護法超入門』(共著、技術評論社、2022年)ほか多数。
UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。
この記事をシェアする
最新情報をフォローする
