カドカワへ再びサイバー攻撃の予告か…身代金11億円の支払いを拒否していた

　KADOKAWAにマルウェアを含むサイバー攻撃を行い情報を漏洩させたロシアのハッカー集団が、同社への再攻撃を予告したと報じられている。27日付「共同通信」記事によれば、同集団はKADOKAWAのシステムへの侵入経路を現在も確保していることを示唆しているという。また、同集団が同社に要求した身代金の金額は800万ドル（約11億円）だったが、同社は支払わなかったという。同集団が再攻撃を行う可能性はあると考えられるか。また、身代金を支払わなかったという判断をどう評価すべきなのか。業界関係者の見解を交えて追ってみたい。

　KADOKAWAのシステムで障害が発生したのは6月上旬のことだった。動画共有サービス「ニコニコ動画」（運営子会社：ドワンゴ）、KADOKAWAのオフィシャルサイト全体、ECサイト「エビテン（ebten）」に加え「N高等学校（N高）」「S高等学校（S高）」など広い範囲で障害が発生。同社の出版物について書店からサイト経由での発注や出庫確認ができなくなった。同社に対してランサムウェアを含むサイバー攻撃を行ったとする犯行声明を出していた「BlackSuit」は、同社のネットワークを暗号化し、従業員やユーザの情報などを入手しており、同社が身代金の支払いに応じなければ7月1日にも盗んだデータを公開すると主張していた。同日には従業員の個人情報や取引先情報などの漏洩が確認され、7月3日にBlackSuitはダークウェブ上に公開していた同社への犯行声明を削除した。その後、臨時のものも含めて順次、サービスは再開。今月5日には多くのユーザを抱える「ニコニコ動画」が再開に至った。

　漏洩した情報は、同社および一部関係会社の一部取引先の個人情報、同社全従業員の個人情報、N高等学校の一部の在校生・卒業生の個人情報、一部取引先との一部の契約書など広い範囲におよぶ

再攻撃の可能性は？

　再攻撃の可能性はあるのか。一般社団法人日本ハッカー協会代表理事の杉浦隆幸氏はいう。

「過去にもハッカー集団が同じ企業に何度も攻撃を行った事例はあります。また、BlackSuitは KADOKAWAから身代金は支払われなかったと言っていますが、2回目の攻撃では支払われるかもしれないので、再攻撃する可能性はあるといえるでしょう。実際に侵入経路を確保しているのかは不明ですが、いくらKADOKAWAがセキュリティ対策を強化していたとしても、新たな侵入経路を見つける可能性もないとはいえません」

　大手ITベンダのプログラマーはいう。

「前回の情報漏洩は、窃取された社員のアカウント情報を使って社内ネットワークに侵入されたことが原因で起きたものなので、ネットワークの奥深くまでアクセス権限のあるアカウントが再びハッカー集団に盗まれてしまえば、再び侵入される可能性があるということになる。もしくは、前回の攻撃時にセキュリティ上の穴を見つけて、そこから侵入できる仕掛けを設定しているケースも考えられる。

　ただ、KADOKAWAはシステムの復旧作業と並行して再構築をしており、入念にセキュリティ対策を施していると考えられるし、1回目の攻撃で身代金を払わなかったということは、再び攻撃されても払わない可能性が高いため、身代金を収入源とするハッカー集団としてみればビジネスとして費用対効果が低い。再び同社に攻撃を仕掛けるという行為は非合理的ともいえ、他のセキュリティが甘い企業を狙ったほうが“より利益が見込める”と判断するかもしれない」

回答企業の70％が過去1年間に身代金を支払った

　今回の事案をめぐっては、KADOKAWAが身代金を支払ったのかどうかという点もクローズアップされた。一部メディアでは同社がハッカー集団に対して支払ったとも報じられていたが、同集団は共同通信の取材に対し、支払われなかったと回答している。

　コンピューターセキュリティインシデントに対応する情報提供機関であるJPCERT/CCは、国際的な基準としてはハッカー集団に対して身代金を支払うべきではなく、交渉もすべきではないとしている。また、米国の財務省外国資産管理室（OFAC）は、OFACの制裁対象組織リストにあるハッカー集団に身代金を支払った場合は制裁対象となるとしており、日本企業も処罰の対象となる可能性がある。

　だが、多くの企業が身代金支払いの要求に応じているのが実態だ。セキュリティ会社・Cohesity Japanは7月30日、企業のIT・セキュリティ責任者302人を対象とした、サイバー攻撃からの復旧に関するアンケート調査結果を発表。回答者のうち79％が「データの復旧とビジネスプロセスの復元、またはその迅速化のために身代金を支払う」と回答し、70％が過去1年間に身代金を支払ったことがあると回答している。

「攻撃者に身代金を支払うと、その攻撃者の攻撃能力が増して新たな被害者が生じることにつながる恐れがあるため、一般論としては『支払うべきではない』とされてはいますが、盗まれたデータの種類やユーザ・取引先への影響度合い、経営・事業の継続性への影響度合いにより、個別に企業の経営陣が判断することになります」（日本プルーフポイント チーフエヴァンジェリストの増田幸美氏／7月18日付当サイト記事より）

経営陣が最終的に判断

　KADOKAWAの判断をどうとらえるべきか。中堅IT企業の役員はいう。

「個々の企業の経営判断によるので、なんともいえない。情報を漏洩されてしまうことで被る損失より、身代金の金額のほうが低いと判断して支払うというケースもあるだろうし、そうした損得勘定を抜きに『いかなる理由があっても支払うべきではない』という判断もあるだろう。KADOKAWAはサイバー攻撃の影響で36億円の特別損失を計上しており、この金額だけを見れば身代金の11億円を払ったほうが安かったということになるが、遅かれ早かれセキュリティ対策の強化を含めたシステム再構築はやらなければならなかったかもしれないし、情報漏洩に伴うお詫び金や損害賠償の支払いとは別に、企業の信用低下や情報を漏洩された人の迷惑度など、具体的な金額として算出できない損失というのもある。よって、身代金を支払ったほうが安く済んだのかどうなのかは算定のしようがない。

　同社が支払い要求に応じなかったのは確固としたポリシーに基づくものだった可能性もあり、取引先やユーザをはじめとする多数のステークホルダーへの影響、攻撃で影響を受けたシステム・業務の範囲・重要性などさまざまな要素を勘案し、経営陣が最終的に判断を下したものなので、外部からとやかく言われる筋合いのものではない」

（文＝Business Journal編集部、協力＝杉浦隆幸／日本ハッカー協会代表理事）