ハッカー集団からマルウェアを含むサイバー攻撃を受け情報漏洩が起きているKADOKAWAは12日、ハッカー集団が公開した情報の拡散行為を行う者に刑事告訴・刑事告発をはじめとする法的措置を取る方針を表明した。250人体制でシステムの再構築に取り組むなか、システムのセキュリティに関する高いスキルを持つエンジニアに月額報酬300万円を提示して採用しようとしているとの報道も出ているが(11日付「SmartFLASH」記事より)、求人サイトでも全社的なセキュリティ対策のマネジメントを担う人材を応募しており、従前からの同社のセキュリティ対策面での人的投資・体制整備が疎かになっていたのではないかという指摘も出ている。
KADOKAWAにサイバー攻撃を行ったとする犯行声明を出していたロシアのハッカー集団とみられる「BlackSuit」は今月1日、同社の従業員の個人情報や取引先情報などを公開。3日にはダークウェブ上に公開していた同社への犯行声明を削除したが、12日には同社はリリースを出し、グループ会社のドワンゴや⾓川ドワンゴ学園に関する情報がX(旧Twitter)やネット掲示板、まとめサイトなどで拡散されていると報告。「悪質と認識した書き込みを⾏った発信者に対して、SNSおよび匿名掲⽰板の運営者に発信者情報開⽰請求を開始しました。これにより、特定した発信者には厳正な法的措置を講じる準備を進めております」「悪質性の⾼い情報拡散者に対しては、証拠保全の上、削除済みの書き込みも含めて刑事告訴・刑事告発などの法的措置に向けた作業を進⾏中です」としている。情報漏洩に関するお問い合わせ専⽤窓⼝を設置するほか、横断対策チームでの巡回監視なども行っている。
身代金を支払うか否かの判断
本事案を受けて議論を呼んでいるのが、企業などがハッカー集団から攻撃を受けた際に身代金を支払うべきか否かという点だ。コンピューターセキュリティインシデントに対応する情報提供機関であるJPCERT/CCは、国際的な基準としてはハッカー集団に対して身代金を支払うべきではなく、交渉もすべきではないとしている。また、米国の財務省外国資産管理室(OFAC)は、OFACの制裁対象組織リストにあるハッカー集団に身代金を支払った場合は制裁対象となるとしており、日本企業も処罰の対象となる可能性がある。6月22日にはニュースサイト「NewsPicks」が『【極秘文書】ハッカーが要求する「身代金」の全容』と題する記事を配信し、同社とハッカー集団の交渉内容を報道。これを受け、KADOKAWAは強く抗議する声明を発表するという事態も起きた。
一般的にサイバー攻撃を受けた企業などは、身代金を支払うか否かの判断をどのような基準で行うのか。日本プルーフポイントのチーフエヴァンジェリストで警察大学校講師の増田幸美氏はいう。
「ケースバイケースです。攻撃者に身代金を支払うと、その攻撃者の攻撃能力が増して新たな被害者が生じることにつながる恐れがあるため、一般論としては『支払うべきではない』とされてはいますが、盗まれたデータの種類やユーザ・取引先への影響度合い、経営・事業の継続性への影響度合いにより、個別に企業の経営陣が判断することになります。
今回の件で懸念されるのは3重被害の発生の可能性です。過去にある病院がマルウェアを含むサイバー攻撃を受けた事例では、病院側は身代金を支払いませんでしたが、情報を盗まれた患者が攻撃者から脅迫を受けるという事態が起きました」
ウェブサービス企業の役員はいう。
「情報が公開されるとユーザなどの外部の関係者に大きな被害がおよぶ場合などは払うこともあるでしょうし、情報が公開されることによって被る損失より身代金の金額のほうが低いとなれば、支払うという判断もありでしょう。個々の事案に対する経営判断ということになるので、仮に支払ったとしても外部から批判を受けるべきことではありませんし、支払ったのかどうかを外部に公表する必要もありません」
KADOKAWAの経営の問題
KADOKAWAは現在、社外のセキュリティ専⾨企業の⽀援を受けながら原因の分析作業を進めているが、従前からのセキュリティ対策が適切・十分であったのかも注目されている。KADOKAWAグループが運営するサービスのインフラ開発・運用を担う子会社・KADOKAWA Connectedは現在、求人サイト上で、情報セキュリティ管理体制の構築を担うセキュリティエンジニアを募集。予定年収は592万円~800万円となっているが、前出「SmartFLASH」報道によれば、KADOKAWAの幹部などが個別にセキュリティに関して高い専門性を持つエンジニアに月額報酬300万円を提示して採用活動を行っているという。
「ネット業界は企業横断的にエンジニア同士の交流が盛んであり、個人的なつながりで人を採用するケースは珍しくなく、KADOKAWAも幹部以下がセキュリティに詳しい人材に声をかけているのかもしれない。グループ全体のセキュリティ対策プロジェクトのマネジメントを担うエンジニアをスポットで雇うというのであれば、これくらいの報酬は相場でしょうし、外部のセキュリティ専門会社やコンサルティング会社から専門家を出してもらう際の金額がこれくらいになることはあるでしょう。もし仮にこの報道が事実であれば、求人サイトの件も含めて考えると、これまでそのような専門的な人材が社内に十分な人数いたのか、コストと労力を割いてしっかりとしたセキュリティ対策体制を整備していたのかが気になります。
例えば同社はNewsPicksの報道を非難していますが、NewsPicks側はKADOKAWA内部からの情報提供に基づくものだと説明しており、だとすれば外部への情報漏れを生じさせてしまったKADOKAWAの経営に問題があるということになります。また、当初は(角川ドワンゴ学園が運営する)N高等学校に関しては攻撃の影響はないと説明していたが、在校生などの個人情報漏洩が起きていたことが判明し、社員がそれらの情報をサーバからコピーして個人フォルダで保管していた可能性も指摘されています。完璧なセキュリティ対策というのは不可能であり、サイバー攻撃を100%防ぐことも不可能ですが、グループ全体としてセキュリティ対策・運営が大規模なウェブサービス運営者として求められる水準を満たしていたのかは総括が必要かもしれません」(大手ウェブサービス企業エンジニア)
(文=Business Journal編集部、協力=増田幸美/日本プルーフポイント・チーフエヴァンジェリスト)