KADOKAWAは情報漏洩回避のために身代金の要求に応じるべきだったのか？

　サイバー攻撃を受けて情報漏洩（ろうえい）が発生しているKADOKAWA。攻撃を仕掛けるハッカー集団は、同社と行っている身代金に関する交渉で合意に至らなければ、ダウンロードした同社の情報を公開するとしていたが、7月1日に情報漏洩が確認されたため、同社は身代金に関する要求に応じなかったとみられている。一連の事態を受け、身代金の要求に応じるべきだったのか否かをめぐり議論を呼んでいる。また、ニュースサイト「NewsPicks」がKADOKAWAとハッカー集団の身代金をめぐる交渉の詳細を報じたことが同社の判断に影響を与えた可能性も指摘されている。今回の情報漏洩によって同社およびユーザ、取引関係者などがどのような被害を受ける可能性があるのかも含め、専門家の見解を交えて追ってみたい。

　KADOKAWAに対してランサムウェアを含むサイバー攻撃を行ったとする犯行声明を出していた「BlackSuit」は、同社のネットワークを暗号化し、従業員やユーザの情報などを入手しており、同社が身代金の支払いに応じなければ7月1日にも盗んだデータを公開すると主張していた。同日には従業員の個人情報や取引先情報などの漏洩が確認され、2日には同社はハッカー集団が追加で情報を流出させたと主張していると発表した。同社が現時点（7月3日）で外部流出している可能性が高いとしている情報は以下のとおり。

・社外情報
　　学校法人の角川ドワンゴ学園が運営するN中等部・N高等学校・S高等学校の在校生・卒業生・保護者のうち、一部の方々の個人情報
　　ドワンゴが取引する一部のクリエイター、個人事業主および法人との契約書
　　ドワンゴの楽曲収益化サービス（NRC）を利用している一部のクリエイターの個人情報
　　ドワンゴの一部の元従業員が運営する会社の情報

・社内情報
　　ドワンゴ全従業員の個人情報（契約社員、派遣社員、アルバイト、一部の退職者含む）
　　ドワンゴの関係会社の一部従業員の個人情報
　　ドワンゴの法務関連を始めとした社内文書

　このほか、取引先との契約書・見積書、社内向け文書なども流出したとみられる。

必ずしも「身代金を支払ってはいけない」とはいえない

　コンピューターセキュリティインシデントに対応する情報提供機関であるJPCERT/CCは、国際的な基準としてはハッカー集団に対して身代金を支払うべきではなく、交渉もすべきではないとしている。中堅IT企業役員はいう。

「事態が進行中なので、現段階では身代金の要求に応じて情報漏洩を防ぐべきだったのか、もしくは要求を拒否したのが正しかったのかは判断できません。情報の漏洩によってKADOKAWAやユーザ、取引関係者らがどのような損害をどのレベルで被るのか、もしくは損害が限定的なものにとどまるのかによるでしょうし、KADOKAWAに対して法的に損害賠償を求める動きが出るのかどうか、損賠賠償が認められるのかにもよるでしょう。

　もし情報を流出させられた場合に自社およびユーザ、取引先が被る被害・経済的損失が、身代金の金額よりも高いと考えられれば、つまり身代金の要求に応じたほうが損失が小さいと考えられれば、応じるという経営判断は合理的です。必ずしも『身代金を支払ってはいけない』とはいえないでしょう。経営陣としてはギリギリの状況で難しい判断を下し、のちに株主をはじめとするステークホルダーからの評価によっては最終的には辞任するかたちで責任を取る可能性もあり、その覚悟のもとで判断をするわけなので、外部がどうこう言う話ではないでしょう」

NewsPicks報道の影響

　KADOKAWAが対応に追われるなか、6月22日にはニュースサイト「NewsPicks」が『【極秘文書】ハッカーが要求する「身代金」の全容』と題する記事を配信し、同社とハッカー集団の交渉内容を報道。これを受け、KADOKAWAは強く抗議する声明を発表。夏野剛社長は以下のようにコメントした。

「このような記事をこのタイミングで出すことは、犯罪者を利するような、かつ今後の社会全体へのサイバー攻撃を助長させかねない行為です。Newspicksに強く抗議をするとともに、損害賠償を含めた法的措置の検討を進めてまいります。なお、本記事についてコメントすることはございません」

　KADOKAWAの対応をより難しくするとして、NewsPicksには批判も寄せられた。

「もし仮に、KADOKAWAは身代金の要求に応じたほうが自社やユーザ含めた全体での損害が小さくなると考え、要求に応じようとしていたのに、NewsPicksの報道によって世論を意識して身代金を支払うことができず、多くの重要情報が流出させられる結果につながったのだとすれば、報道の影響があったということになります。犯罪の被害者であり、当事者として対応に当たっている同社の立場をよりいっそう苦しくし、その判断に影響を与えるような報道を正当化することは難しいと考えられます」

一部サービスは再開

　同社では6月8日以降、動画共有サービス「ニコニコ動画」、KADOKAWAのオフィシャルサイト全体、ECサイト「エビテン（ebten）」に加え「N高等学校（N高）」「S高等学校（S高）」など広い範囲で障害が発生。同社の出版物について書店からサイト経由での発注や出庫確認ができなくなった。「ニコニコ動画（Re:仮）」「ニコニコ生放送（Re:仮）」「ニコニコ漫画」など、臨時サービスも含めて一部サービスが再開している。

　同社は「当該組織（編注：＝「BlackSuit」）が主張するウェブサイトへのアクセスやデータファイルのダウンロードなどの行為は、マルウェア感染などの危険がありますので、ご注意いただきたく存じます。また、上述の通り当該組織の主張内容につきましては現在調査中ですが、上記のデータの拡散は個人情報を侵害し深刻な影響を及ぼす可能性があるため、SNS等による共有はお控えくださいますよう、皆様のご理解とご協力を心よりお願い申し上げます」とのコメントを発表している。また、7月中には外部専門機関の調査結果に基づく正確な情報が得られる見通しだとしている。

（文＝Business Journal編集部）