KADOKAWAを標的として行われた、ランサムウェアなどによるサイバー攻撃。8日からニコニコ動画を中心にシステム障害が起き、復旧には最低1カ月以上を要するとされている。
そんな中、NewsPicksが22日、身代金を求める犯人とKADOKAWAとのやり取りとされる情報をスクープ。これにKADOKAWAは「犯罪者を利するような、かつ今後の社会全体へのサイバー攻撃を助長させかねない報道を行うメディアに対して強く抗議をする」と、損害賠償を含めた法的措置を検討するとのコメントを発表。SNS上でも「このタイミングはどうかと思う」など疑問の声が上がっている。
ランサムウェアをめぐる“身代金報道”の是非について、「ABEMA Prime」では専門家を交え議論した。
■“身代金報道”控えるべき?
日本ハッカー協会代表理事の杉浦隆幸氏は、「民主主義国家には報道の自由がある。重要な役割だ」とした上で、「通常は交渉内容が流れてくることはない。報道機関にこうした情報を提供することはない。なぜ漏れているのかは不思議だ。報道されると、現場で復旧に務める人たちが他のことを考えないといけなくなる。それは阻止するべきだったと思う」と語る。
サイバー攻撃に詳しいSBテクノロジーの辻伸弘氏は、「見出しを見た瞬間に『どきっ」となり、内容を読んで『あかん』と思った。まずタイミングが良くない。ランサムウェアをめぐる交渉は情報が不正確なことがある。別のケースだが、ある被害者は『実は自分たちはやられてなかったのに、メディアが取り上げたから対応に追われ、無駄な時間をすごした』と言っていた。まだ事件の対応中に余計なリソースを割かせるのはよくない」との見解を示す。
作家・ジャーナリストの佐々木俊尚氏は、「記事の中に犯人を利するような情報はなかった」と指摘。「KADOKAWAの手の内にある交渉材料を報じたら、犯人側に知らせてしまうことになるが、そうした情報は基本的になかった。慎重に書いていると感じた」と述べた。
ハッカー側に利するという意見について、NewsPicksは取材に対し、「報道があった場合となかった場合で、ハッカー側に具体的メリットが生じるのか取材・検討したが、特筆すべきメリットは見い出せない」「報道がなかったことによる秘密裏の追加的なお金の流出の恐れは、ハッカー側のメリットとして十分に考慮すべき懸念」「ハッカーがこれ以上水面下で利益を得ることを防ぐという意義があったと考える」と回答。また今、報道した狙いについては「身代金のやり取りがあるという情報があり、その是非を問うことは社会的に大きな意義がある。犯罪組織に水面下で共有され、次の犯行を誘引する可能性がある」としている。
これに佐々木氏は「まっとうな報道の論理だ」と語る。「“サイバー攻撃を助長させかねない報道”と言い出したら、犯罪報道はできなくなる。私たちには社会の出来事を知る権利があり、それを代行しているのが報道機関だ。最近は“マスゴミ”呼ばわりして、やることなすこと全てに“けしからん”と言うが、今回の報道には正義があると思う」。
辻氏は「タイミングの悪さ」を繰り返し指摘した上で、「攻撃側が得をすることはないと思うが、同じようなメールを送ってくるといった模倣犯が出る可能性はある。ただ、NewsPicksが主張している『追加の身代金を払わせない抑止効果』については、この記事が止めたものもないと思う」との考えを示した。
■「メールでいきなり脅迫するグループではない。違和感がある」
辻氏は「犯人の情報も記事にあったが、本当にこの攻撃者グループなのかと違和感がある。いつもとやり口が違う」として、次のように説明する。「メールを送ってきた人物と、ランサムウェアに感染させた人物が同一だと、NewsPicksは確認を取ったのか。僕が知る限り、メールでいきなり脅迫するグループではない。このグループは通常、ランサムウェアに感染させたサーバーやパソコンに、ランサムノートと呼ばれる脅迫状を置く。そのノートには、“ここにアクセスしてチャットをしよう”などと書かれており、ダークウェブ上に誘導する。そこから身代金の交渉が始まるわけだ」
KADOKAWAは14日時点で、情報漏えいについて「調査中」「個人情報・クレジットカード情報等の漏洩は現時点では確認されていないが、引き続き調査を進める」「個人情報保護委員会に本件を報告済み」と発表している。
辻氏は「『情報漏えいは確認できておりません』という表現は、自分たちが確認していないだけで、漏れていないとは言っていない」と指摘。「ランサムグループは、お金を払わなかった組織の情報を公開することが多い。被害企業は公開情報を自分たちでダウンロードして、何が漏れていたかを発表するケースもある。それまでは細かく分からない。“最大◯〇件流出”というのは避けたいので、確認を待ってから発表するケースもある」とした。
■身代金の交渉はすべき?「犯人にとってはビジネスだ」
身代金を要求された場合、杉浦氏は「交渉には応じたほうがいい」と語る。「犯人側としても、1円ももらえなかったらタダ働き。交渉で仲良くなって、おだてて、少ない金額で収めるべきだ。彼らにとってはビジネスで、約束を守らないと信用に関わる」。今回のケースについても、「今回のような規模であれば交渉をするべきだ。重要なのは被害を最小限にすること、顧客と株主を守ることだ」とする。
さらに「警察に相談しても『身代金は絶対支払うな』と言われるだけだ」と話すが、警視庁でサイバーセキュリティアドバイザーも務める辻氏は「警察には“報告”はしてほしい」と促す。「被害届を出すと復旧作業に影響が出るので、相談にとどめるケースが多い。ただ、警察庁は暗号化されたデータを元に戻せるツールを作っている。それは被害者にしか渡されないため、相談をして欲しい」。
辻氏は企業の対応として、「身代金を払うか払わないか、払うならいくらまで払うか、は事前に決めておく。例えば、病院であれば人の命がかかっているので払ってもいいという論調はある。ただ、別の業種でも損失が出たら誰かのクビを切って、生活を奪う可能性がある。命に近いとも思う。ニコニコからの収入に頼っている配信者もいるだろう。そこを天秤にかけ、払うつもりがあるなら交渉すべきだ」と訴える。
杉浦氏は「1つだけ犯人側に利するところがあるのは、“これだけのお金が入ってきた”と公開されたこと。他の事案では、犯人グループは身代金を受け取っても、その額は明かさない。今回の記事が事実かどうかに関係なく、それを信じた人はそのグループに入りたくなる。つまりビジネスが大きくなる可能性はある」と懸念を示した。(『ABEMA Prime』より)
■Pick Up
・【Z世代に聞いた】ティーンの日用品お買い物事情「家族で使うものは私が選ぶ」が半数以上
