ランサムウエアによるサイバー攻撃 身代金は支払うべきか？<ネット時代に必要な企業防衛の極意vol.26>

昨今のサイバー攻撃強化で改めて注目度が高まっているセキュリティ対策。2022年4月に施行された改正個人情報保護法でも、個人情報の利用や提供に関する規制が強化されています。一方で、ネット上の情報漏洩や誹謗中傷といった事例も近年、急増しています。当コラムでは、こうしたネット上のリスクや対応策について詳しく解説します。
※本記事は、会報誌『BIZUP Accounting Office Management Report』vol.130（2024.8）に掲載されたものです。

---

弁護士法人戸田総合法律事務所 代表
中澤 佑一 先生

2024年6月に、出版大手のKADOKAWAが大規模なサイバー攻撃を受けて、子会社が運営するニコニコ動画がサービス停止に追い込まれるなど、大規模な被害が生じたという報道がありました。その後、公表された情報によると、「BlackSuit」を名乗るハッカー集団によるランサムウエアを利用したサイバー攻撃であり、大量のデータが盗まれ、データを人質とした金銭の要求がなされていたとのことです。

ランサムウエアとは、感染したコンピュータをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求するメッセージを表示するマルウェアのことです。近年、企業や官公庁などの組織に対する悪意あるサイバー攻撃で多用されており、IPAが毎年公表している情報セキュリティ10大脅威の2024年版では組織向け脅威の第1位になっています。

ランサムウエアに感染すると事業活動に非常に大きな影響が生じます。復旧は容易ではなく、実質的に業務システムを一から作り直す作業になってしまうことも珍しくありません。むしろ身代金を払ってしまったほうが損害が少なく良いのではないか？ という考えもあるところです。

しかし、身代金を支払えばそれが犯罪者の収益になり、新たな犯罪被害を発生させる行為ともいえますので、コンプライアンス上は大きな問題があります。実際、2021年に発生した徳島県つるぎ町立半田病院に対するランサムウエアによる攻撃の事件では、病院の電子カルテが使えず地域の医療に重大な影響が生じる事態になっていましたが、身代金の支払いを拒否し、データ復旧やシステムの再構築で対応したことが公表されています。不当な要求に屈せず、あるべき対応と言えるでしょう。

とはいえ、現在進行形で攻撃を受けて業務が止まった状態で被害を迅速に解決する必要に迫られると将来のコンプライアンスよりも現在の対策をと考えてしまうことも理解できます。また、経営陣としては復旧がうまくいかず結果として要求された身代金額よりも大きな損害が生じてしまった場合に、身代金の支払いを拒絶したという経営判断は間違いだったと株主代表訴訟を起こされてしまうのではないかという危惧もあるでしょう。

ただ、このような犯罪をするような相手が本当に約束を守ってくれるのでしょうか。今回のKADOKAWAの事例でも、身代金の支払いに一部応じたという情報もありますが、ハッカー集団の側が金額が足りないと考えたのか、7月になり盗んだ情報をダークウェブに公開し始めました。払っても復旧する保証はないということは肝に銘じなければなりません。少なくとも、支払いを拒絶して損害が拡大した責任よりも、不当な要求に屈して払ってしまったのに復旧しなかったときのほうが、株主代表訴訟等で経営判断の誤りを指摘されるリスクは高いと言えます。