大手ゲームメーカー「カプコン」が不正アクセスを受けた問題で、犯行グループによるものとみられる声明文がインターネット上に掲載された。
「RAGNAR LOCKER(ラグナロッカー)」を名乗る声明文は「ハロー・カプコン」という挨拶に始まり、「このメッセージを読んでいるということは、ネットワークへの侵入を許したということだ。そしてすべてのファイルとデータは暗号化された」と宣言。さらに「我々と連絡を取り、暗号解除のための特別なカギを購入しろ」「もし取引が行われなければ、データはすべて公開されるか、オークションを通して第三者に売り渡される」として、日本時間11日午前8時までに身代金を支払うよう要求している。
さらに「ラグナ・ロッカー」は11日、カプコンから取得したとする情報の一部をダークウェブ上に公開。その一部を解析した立命館大学上原哲太郎教授は「会社の売り上げや給与に関する記録、関係者のパスポート画像や社内のメールなどが含まれているようだ。次の攻撃を招くような社会の悪循環を作らないためにも支払いはしないでほしい」と訴えている。
データやシステムを人質に取る、「ランサムウェア攻撃」。11日の『ABEMA Prime』では、その実態や対処について、セキュリティの問題に詳しいSBテクノロジーの辻伸弘氏に話を聞いた。
■辻氏「“身代金は絶対に払うな”とは言えない」
まず、辻氏は「ラグナ・ロッカー」について、「ウイルスに感染させて情報を盗んだり、ファイルを使えなくしたりして金銭を要求するようなランサムウェアのグループを7つほどウォッチしてきたが、6月くらいから活動が活発になってきている。あるグループは9月だけで59件の情報を盗んだとしている一方、ラグナ・ロッカーは1件だけだったので、“控えめ”な方ではあった。しかし今回はインパクトの大きいところを狙ったなという印象がある。ただ、あえてカプコンを狙ったというよりも、何かしら侵入できる口があったといった理由からではないか」の見方を示す。
カプコン側は4日、「不正アクセスによるメールシステムやファイルサーバーなどに障害が発生、警察に相談している」と発表。その後の取材では、身代金の要求との関係など詳細についてはコメントできないとしている。
このような被害に見舞われた場合、組織や企業は身代金を支払うべきなのだろうか。
辻氏は「こういった例をたくさん見てきているが、アメリカで自治体と病院が同じ攻撃者にやられた事例がある。自治体は身代金を払わなかったことで、後に復旧に10億円くらいかかっている。一方、病院は日本円で400~500万円くらいを即日払った。病院の場合、システムがやられてしまうことで、患者さんを受け入れられなくなったり、人命に関わることになったりするからだ。もちろん、払わないに越したことはないし、アメリカでは“このグループに支払ってはいけない”という決まりもあるが、“絶対に払うな”とは言えなくなってきている状況がある。また、過去の事例では“値下げ交渉”も盛んに行われていて、場合によっては半額、さらには10分の1という水準にまで値引きされることはよくあるようだ。ただ、“去年の財務状況はこうだ。だからこれ以上は下げない”などと言ってくるケースもあるので、犯人グループはその辺りも見ていると思ったほうがいい」と指摘。
カプコンについては「侵入した証拠を示すのが彼らの手口なので、侵入したコンピュータのデスクトップ画像やメールなどが盗られている可能性はある。ただ、データの通信量を監視している組織でなければ、どのくらいのデータが持っていかれたかまでは分からないと思うし、何を持っていかれたのかということが分からないと、カプコンとしても対応が難しいと思う。それでも、例えば発売前のゲームの情報など、後にすごい価値を生むものであれば被害額も大きくなるし、損失によって社員の雇用にまで影響が及べば、その家族の生活までもが奪われてしまうことになる。経営者としては非常に難しい問題だ」と話した。
■夏野氏“こういうことは起こりうる”という前提で行動を
慶應義塾大学特別招聘教授でドワンゴ社長の夏野剛氏は「コンプライアンスが言われる時代なので、企業はこういうことが起こると管理体制を厳しく問われることになる。ただ、対策を取っていたのにやられてしまった場合と、ちょっとマズいところがあったなという場合とでは、状況が異なる。また、日本は個人情報に非常に敏感だが、ちょっと漏れたらものすごく大騒ぎするはいい加減やめてほしい。メディアも、何が本当にクリティカルな個人情報なのかというところも踏まえて報道すべきだ。それがないと、かえって犯罪集団を利することになる」と指摘。
その上で、「“ファイアウォールさえしっかりしていれば”というのは、ほぼ20世紀のセキュリティ対策だ。“こういうことは起こりうるものであって、その場合に被害を最小限にする”という前提に立ったアクセス権限の管理などが重要だ。サーバなどについても、ウイルス対策のソフトウェアのダウンロードが打ち切られたら、使えても捨てなければいけない。なんとか騙し騙しできないのかと思っている間にやられてしまい、致命傷になることもある」と警鐘を鳴らした。
辻氏も「家電と同じで、“ちょっと部品がなくても動くからいいじゃないか”という発想に感じになりがちで、組織内で使っているソフトについても“ちょっとくらい古くても大丈夫”と思っているかもしれない。特にサーバー系は対処が遅れがちだ。しかし、そこをつつかれてやられることもある。また、個人がランサムウェアの被害に遭うこともある。その場合、身代金や復旧費用は数万円で済むこともあるが、データが消されたり、端末が壊されたりすることを考えれば、普段から携帯もパソコンも、バックアップはしっかりしておいてほしい」と話していた。(ABEMA/『ABEMA Prime』より)
この記事の画像一覧
■Pick Up
・キー局全落ち!“下剋上“西澤由夏アナの「意外すぎる人生」
・「ABEMA NEWSチャンネル」がアジアで評価された理由
・「ABEMA NEWSチャンネル」知られざる番組制作の舞台裏
