サイバー攻撃集団が制裁対象に 身代金払えば違法にも
https://www.nikkei.com/article/DGXZQOUC2127F0R20C23A4000000/
※ 支払ったお金が、ミサイル開発資金にも使われている…、ということじゃ、やむを得ない話しだろう…。
『日本でランサムウエア(身代金要求型ウイルス)被害が目立っている。政府が対策の強化とともに攻撃者への金銭要求に応じないよう企業に注意喚起を強めており、身代金支払いの是非に注目が集まっている。
脅迫を受けた被害企業が自主的な判断で金銭を支払うことが、直ちに法令に抵触するわけではない。ただし攻撃者集団の素性や、支払われた状況によっては法令違反に問われると専門家が指摘するケースが出ている。
例えば202…
この記事は会員限定です。登録すると続きをお読みいただけます。』
『例えば2022年12月、政府が経済制裁の対象として取引を禁じる外国の団体に、サイバー攻撃の集団が新たに加わった。攻撃者が限定されるとはいえ、身代金の支払いそのものが法令違反になる初めてのケースとみられる。
一方、欧米では身代金要求に応じてデータを復旧させる例が多くある。攻撃者との交渉代理を請け負える体制を持つセキュリティー企業も日本に進出している。攻撃者との交渉は日本で被害企業の選択肢になりえるのか。
北朝鮮のラザルス、政府が取引禁止相手に
政府が新たに取引を禁じたサイバー攻撃集団は「Lazarus Group(ラザルスグループ)」である。外務省が22年12月、外国為替及び外国貿易法(外為法)に基づく経済制裁の対象リストを更新し、金銭支払いなどを実質的に禁じる(許可が必要)外国の団体に追加した。北朝鮮による弾道ミサイル発射などに対して経済制裁を強めるために取った措置である。
外務省など3省が外為法に基づき公表した資金取引などを禁止する外国団体。ラザルスグループが追加され、制裁対象である北朝鮮に所在の団体としている(出所:外務省)
ラザルスは北朝鮮に拠点があり、同国政府の外貨獲得を担っていると分析されている。「Hidden Cobra(ヒドゥンコブラ)」「APT-C-26」などの別称もラザルスに該当するという。外務省は経済産業省や財務省との連名で、ラザルスが金銭要求などに使うビットコインのアドレスのリストも公表し、取引を禁じた。
サイバーセキュリティーの法制度に詳しい森・濱田松本法律事務所の蔦大輔弁護士は「攻撃者がラザルスと認識しながら金銭要求に応じれば、外為法に抵触する恐れがある」と指摘する。
ビットコインのアドレスは新規取得が容易で、金銭要求に同一のものが使われるとは限らない。ただし被害企業が身代金を支払うと判断した場合は、攻撃相手の素性を確認すべき状況になった。
21〜22年に国内の企業や病院などで発生したランサムウエア被害の多くは、ロシア系とみられる攻撃者集団「LockBit(ロックビット)」による犯行だ。ロシアの団体はウクライナ侵攻後に銀行などが制裁対象になっているものの、ロックビットなどサイバー攻撃の集団は記事執筆時点で含まれていない。攻撃者によって法令上の対応が分かれた格好だ。
対策企業が攻撃者を助ける「共謀」の可能性も
ただ、専門家からは、被害企業が意図しない身代金支払いに関する問題を指摘する意見が出ている。実際に疑われる事件が国内で発生している。
22年10月の一部報道によると、徳島県のつるぎ町立半田病院を脅迫したロックビットが「病院側から身代金を受け取った」と主張した。半田病院とデータ復旧を請け負った事業者ともに攻撃者集団への支払いを否定しているものの、半田病院はデータ復旧に成功している。サイバーセキュリティーの専門家などからは、データ復旧を請け負った事業者が攻撃者と交渉した可能性があると指摘が出ている。
被害を受けた病院に事前の説明や了解を得ることなく事業者が金銭を支払った場合、いくつかの問題があると専門家は指摘する。まず、病院側の意図に反して犯罪者に利益を与えたことで、詐欺罪が成立する可能性がある。サイバーセキュリティー関連の法制度に詳しい大学改革支援・学位授与機構の石井徹哉教授らが指摘している。
さらに攻撃者の脅迫行為に加担したと見なせる。蔦弁護士は「被害企業の指示や了解を得ずに金銭を支払った事業者は、攻撃者の恐喝行為や不正アクセスに加担したと見なせる。共同正犯が成立する可能性がある」と指摘する。
支払う場合でも警察機関や専門家と情報を共有する
違法性がない場合でも、日本では政府や警察機関が金銭要求に応じず、攻撃者との交渉に応じないよう強く呼び掛けている。欧米の政府機関も、原則として攻撃者の要求に従わないよう求めるケースが多いとされる。
もっとも、欧米企業は早期の事業継続を優先させて身代金要求に応じるケースも多い。欧米では攻撃者との交渉代理を担うセキュリティー企業があり、最近は日本で事業をする企業が増えてきた。
日本サイバーディフェンス(東京・千代田)は海外拠点のほか、日本企業に向けても攻撃者との交渉を含めた総合対策サービスを提供している。実際に、日本企業の対策を支援したなかで攻撃者との交渉代理を務めた案件が複数あるという。
自らも交渉代理を務める同社のドゥーギー・グラント取締役は、「安易に支払わない前提で、事業継続への深刻な影響を回避する代替策がなかった場合は攻撃者と交渉する。(専門家による)交渉には攻撃者の情報が得られるメリットがある」とし、状況によっては交渉が必要になると説明する。
完全なデータ復旧や情報流出の防止を確保することも、被害企業の支援で果たす役割だという。「初期とは異なり、攻撃者も取引を成立させるため信頼を重視する。交渉で攻撃者の能力などを見定められれば、金銭を支払った被害企業が復旧に失敗することは排除できる」(グラント取締役)とする。
ただし攻撃者との交渉を代理するうえでは鉄則があるとグラント取締役は指摘する。被害企業とともに日本を含む各国の警察や政府機関と連携し、情報を共有することだ。
攻撃者との交渉だけでなく、交渉を通じて得た情報は捜査機関などにも提供して、捜査や攻撃者の分析に協力する。実際に、海外ではランサムウエア被害を受けた企業が支払った身代金が、その後の捜査などにより大部分が戻った事件もある。
経産省や、サイバー攻撃の情報収集などを手掛けるJPCERTコーディネーションセンター(JPCERT/CC、東京・中央)などは、被害企業が身代金要求を拒否すべき理由を大きく2つ挙げる。1つ目は金銭を支払ったとしても、暗号化されたデータの完全な復元や、攻撃者が窃取した情報の公開・販売の停止を保証できないことだ。
2つ目は、1度でも金銭を支払うと、再び別の攻撃を受けて支払い要求を受ける可能性が高まることだという。1つ目については実際に、身代金を支払ったものの一部のデータを復元できなかった事例が報告されている。
政府の呼び掛け通りに攻撃者との交渉を排除するか、支払いを含めて攻撃者と交渉するか。企業には2つの選択肢がある。交渉を選ぶ場合でも、安易に身代金を支払ってしまえば見込み通りにデータを復旧できないなどのリスクを高める。捜査機関に被害を届けたうえで、捜査機関と専門家を交えた相談が必要だ。
(日経クロステック/日経コンピュータ 玄忠雄)
[日経クロステック 2023年4月19日付の記事を再構成]』
ジジイがあれこれ考えた 