サイバー攻撃によって、運営するシステムのほぼ全体に障害がおよぶ被害を受けているKADOKAWA。その同社とランサムウェアを仕掛けている側の集団の交渉内容を報じたニュースサイト「NewsPicks」への批判が強まっている。KADOKAWAは「犯罪者を利するような、かつ今後の社会全体へのサイバー攻撃を助長させかねない報道を行うメディアに対して強く抗議をする」との声明を発表し、NewsPicksの運営会社であるユーザベースに対する損害賠償を含めた法的措置を検討するともしているが、もし仮にKADOKAWAが法的手段をとった場合、損害賠償が認められる可能性はあるのか。また、NewsPicksの報道がハッカー集団に利する可能性はあるのか。専門家の見解を交えて追ってみたい。
KADOKAWAの被害が公になったのは今月8日。同社のオフィシャルサイト全体、動画共有サービス「ニコニコ動画」、ECサイト「エビテン(ebten)」、学校法人の角川ドワンゴ学園が運営する「N高等学校(N高)」「S高等学校(S高)」などで障害が発生し、KADOKAWAの出版物は書店からサイト経由での発注や出庫確認ができない状況となった。10日にはニコニコ運営チームがリリースを発表し、「ニコニコのシステム全体を再構築をするための対応を進めています」と説明。14日には、7月末までニコニコのサービスを停止する見通しであり、有料ニコニコチャンネル会員やニコニコチャンネル運営者に対して補償を行うと説明した。
一部サービスには再開の動きもみられる。すでに漫画配信サービス「ニコニコ漫画」のスマートフォンアプリについては機能縮小バージョンを公開しサービスを再開。28日には「ニコニコチャンネルプラス」を一部再開する予定。経理機能は7月初旬に復旧するめどが立っている。27日現在、「7月中には、調査結果に基づくより正確な情報が得られる見通し」だとしている。
27日には、「BlackSuit」を名乗るハッカー集団がKADOKAWAに対してランサムウェアを含むサイバー攻撃を行ったとする犯行声明を出したことがわかった。同グループは、KADOKAWAのネットワークを暗号化し、従業員やユーザの情報などを入手しており、KADOKAWAが身代金の支払いに応じなければ7月1日にも盗んだデータを公開すると主張しているという。同集団が主張している内容の真偽は不明だ。
KADOKAWAが対応に追われるなか、22日、NewsPicksが『【極秘文書】ハッカーが要求する「身代金」の全容』と題する記事を配信。これを受け、KADOKAWAは強く抗議する声明を発表。夏野剛社長は以下のようにコメントしている。
「このような記事をこのタイミングで出すことは、犯罪者を利するような、かつ今後の社会全体へのサイバー攻撃を助長させかねない行為です。Newspicksに強く抗議をするとともに、損害賠償を含めた法的措置の検討を進めてまいります。なお、本記事についてコメントすることはございません」
24日にはKADOKAWAの株価が急落しており、この報道の影響を受けたものだとの声もある。
KADOKAWAがより苦しい状況に追い込まれるほど、攻撃者側が有利になる
データアナリストで鶴見教育工学研究所の田中健太氏はいう。
「対人の誘拐やハイジャック事件などでは、被害者と加害者の間の交渉内容は極めてセンシティブに扱われるべきものであり、容疑者に関する情報を含めて、事件がまだ解決せず進行中の場合はメディアは詳細に報じないように配慮します。今回の件も、攻撃者が機密データを人質にして身代金を要求しているという点では同じであり、報道によって攻撃者の気持ちが変わって、盗んだ情報をすべて公開してしまう恐れもあります。KADOKAWAの経営陣は、もし身代金を払えばハッカー集団に資金を与えたと批判されるリスクがあり、払わなければ機密情報を漏洩されるリスクがあり、非常に難しい判断を迫られています。コンピューターセキュリティインシデントに対応する情報提供機関であるJPCERT/CCは、国際的な基準としてはハッカー集団に対して身代金を支払うべきではなく、交渉もすべきではないとしており、第三者であるメディアが、事実かどうかもわからない情報をもとに勝手に報道をするというのは、よりKADOKAWAの対応を難しくし、また被害を拡大させる恐れがあるため、望ましくはありません。そして攻撃者を利することにつながります」
中堅IT企業役員はいう。
「すでにKADOKAWAは警察に報告し協力を受けながら動いているとのことですが、例えば誘拐や人質などの事件で解決に至っていない段階で、被害者側と加害者側がどのような交渉を行っているのかや、被害者側がどのような動きをしているのかが公になると、被害者側にとっては予測不能な要素やハンドリングできない要素が入り込んできて、動きにくくなったり、やらなければならないことが多くなったりする恐れがあります。それは被害者側は不利に、加害者側は有利になることを意味しますし、たとえばこうした事件が現在進行形のタイミングで被害者側と加害者側のやりとりの詳細を報じるということは、大手メディアは控えるのではないでしょうか。
KADOKAWAにとっては、できる限り情報が外に漏れないかたちで攻撃側との交渉を進めたいでしょうし、損失はゼロというのは難しいにしても、会社とユーザの損失が可能な限り小さくかたちで事件を決着させるようギリギリの交渉を行い、その損失を最小限に抑えるために身代金を支払うという選択肢も取り得るでしょう。身代金の金額が、盗まれた情報を公開されることで会社とユーザが被る損失よりも小さくなると判断されれば、身代金を支払うという判断は合理的だということになりますし、第三者から批判されるものではありません。
そもそもKADOKAWAは身代金を要求されているとも、されていないとも公表しておらず、それを第三者であるメディアによって突然に公にされれば社内で混乱が生じるのは明らかですし、また情報が漏れてしまうのではないかと疑心暗鬼になりながら対応を進めることになるので、さまざまなことを“やりにくく”なります。外野の声を意識してKADOKAWAが身代金を払わないのではないかと攻撃者側が考え、交渉を一方的に打ち切って、盗んだ情報を公開する可能性も考えられ、そうなればKADOKAWAとユーザが多大な損失を被ることになります。
KADOKAWAとドワンゴは今、サイバー攻撃を回避する方法を模索しつつ、同時にシステムを再構築してサービスを再開させるという、想像を絶する大変な作業の真っ最中であり、さらに彼らの負荷を増大させるような報道は許されるものではありません。そのような大変な状況下にいる被害者が嫌がることが明らかな内容を、あえて報じるという行為を正当化するのは難しいと感じます。
繰り返しになりますがKADOKAWAがより苦しい状況に追い込まれるほど、攻撃者側が有利になるので、このような報道は結果的に攻撃者に利することになり、攻撃者に加担する格好になると考えられます。そして、事件が現在進行中である段階でこのような内容を報じることに、何ら公益性はないと考えます。もっとも、メディアというのは世間から高い関心を引きやすい報道をしてお金を稼ぐというビジネスなので、その報道が違法ではない限りは、たとえそれによって不利益を被る人がいたとしても商売として報じますよということなのでしょうから、ある意味では仕方ないとも感じます」
弁護士「損害賠償義務が発生するとは思えません」
では、もし仮にKADOKAWAがNewsPicks側に対し法的手段をとった場合、損害賠償が認めらる可能性はあるのか。山岸純法律事務所代表の山岸純弁護士はいう。
「この問題、いろんな方がいろんなことを言っていますが、『KADOKAWAがハッキングした犯人と交渉していることを暴露したNewsPicks』に、損害賠償義務が発生するとは思えません。KADOKAWAは『犯罪者を利するような報道』云々と発表していますが、『犯人と交渉していること』を報道することが、なぜ犯罪者を利するのか全く理解できません。単に、『犯人と交渉していること』を報道されたことで株価が急落したことをNewsPicksになすりつけているようにしか思えません。
そもそも、ハッキング被害を受けた企業が、その被害回復を図るため、その選択肢の一つとして“身代金”を支払うことを考えること自体は責められません。『“身代金”を支払う』行為自体も、外為法などで国際的な送金規制にひっかからないなら、特段、違法となるようなことはありません。
次に、NewsPicks側の行動ですが、リークや取材などでこの情報をつかんだとして、『株価操作(金商法等)』や『風説の流布(不正競争防止法等)』の目的で報道したのであれば本末転倒ですが、また、捜査機関による事実上の報道規制などがあれば別ですが、報道機関として報道するのに“違法なタイミング”などあり得ません。
はたして、NewsPicksが報道したことで、KADOKAWAにどのような損害が発生したかですが、信用毀損、株価下落などが考えられるとしても、それは『犯人と交渉している』こと自体が企業としての信用を損ねる行為、株価が下落する行為であるからであって、報道したこととの間に『相当な因果関係』は認められないものと考えます。そのほか、いろんな方が、模倣犯が出るリスク、KADOKAWAが交渉で不利になるリスクなどを挙げていますが、今さら報道機関に求めることができるような事項ではないでしょう」
(協力=田中健太/データアナリスト・鶴見教育工学研究所、協力=山岸純弁護士/山岸純法律事務所代表)
●田中健太/データアナリスト、鶴見教育工学研究所
東京工業大学大学院 博士課程単位取得退学。ITベンダー系人材育成サービス企業で、研修開発、実施に従事。クラウド、IoT、データサイエンスなどトレンド領域で多数の教材作成、登壇。リサーチ会社でデジタルマーケティング領域のデータ分析に従事。アンケート、アクセスログ、位置情報、SNS等を組み合わせた広告効果の分析を行った。現在は、フリーランスとして教育の領域で活動。
鶴見教育工学研究所