サイバー攻撃のような事故には、不可抗力な点もある。しかし、その後の対応は「人の判断に基づく」ものだ。会社や経営層が不誠実に見えてしまう対応には、有能な社員の士気が下がり、最悪の場合には退職してしまう、社外ステークホルダーが離れてしまうリスクもあるのだ。
再燃する身代金とバックアップに関する議論
ひと昔前の、ただ個人情報を盗み取るだけのサイバー攻撃と異なり、最近ではシステムやデータを破壊することで企業や組織の活動に悪影響を与え、問題解決の見返りに高額の身代金を脅し取ろうとする手口が増えている。パロアルトネットワークスが2024年に世界各地で対応を支援したインシデントを見ると、中間値として被害組織の年間売上高の2%をサイバー犯罪グループは身代金として要求している。
昨年、KADOKAWAグループで事故が発生した際と同様に、身代金支払いの是非に関する議論が一部で再燃しているように見える。最近では、問題解決のために支払いを検討するべきだという者までいる。身代金を要求する誘拐などの犯罪と同様に、支払うことには影響範囲や復旧可否の評価といった時間稼ぎができるというメリットはある。しかしながら、被害者が安易にサイバー犯罪グループと接触するのは避けるべきだろう。
米国では、規制対象国への身代金の支払いが民事罰の対象になり得るだけでなく、身代金を支払わないことを推奨する注意喚起を財務省外国資産管理室が2021年に出している。オーストラリア政府は、年間売上高300万豪ドル(約3億円)以上の企業や重要インフラ系の企業に対して、身代金を支払った場合には72時間以内に報告することを2025年5月から義務化した。オーストラリア政府は併せて、支払わないことを強く推奨するというガイダンスを出している。英国では、公共機関や重要インフラ企業によるサイバー犯罪者への身代金の支払いを禁止する法案の検討に入っている。
身代金の支払いは当事者の判断、つまり経営判断となる。業務が停止し、サプライチェーンのビジネスにも影響が出るからこそ対応の判断は難しい。約8割のセキュリティ責任者が「身代金は支払わない方針だ」としながらも、約5割は「その場になってみないとわからない」と回答している。しかし身代金を支払ったところでサイバー犯罪者が約束を守ったケースは6割を切っている。結局、相手は犯罪グループであることを認識するべきだ。
同時に、バックアップから復旧できれば、被害に遭うこと自体はやむを得ないといった議論も再燃している。サイバー攻撃に限らず、災害発生時への備えとしてもバックアップを行っていたほうがよい。しかし、バックアップから復旧できているケースは5割に満たないのが実情だ。仮にバックアップから復旧できたとしても、完全復旧まで長期間を要している実態も見逃すべきではないだろう。
身代金の支払い、バックアップ、いずれも絶対的な復旧手段にはなりえないことは肝に銘じるべきだ。この事実を踏まえて、被害を未遂にするための対策にまずは注力するべきだ。
