ニュース本文

アサヒグループホールディングスやアスクルが「ランサムウエア（身代金要求型ウイルス）」を使ったサイバー攻撃に遭い、多大な損失を被った。感染したシステムは暗号化され、使えなくなる。「復旧させるのに必要な『復号鍵』が欲しければ身代金（ランサム）を支払え」と恐喝するのが攻撃者の手口だ。被害企業を支援するイスラエルのサイバーセキュリティー会社、Sygnia（シグニア）のラウロ・バーカートアジア太平洋・日本担当副社長に、ランサムウエアに感染してしまったときの交渉術を聞いた。
――道義的な理由から攻撃者と交渉することに抵抗感を抱く日本企業が多く存在します。そもそも攻撃者と交渉すべきですか。
「はい。実際に身代金を支払うかどうかに関わらず、交渉すべきです」
「被害企業が無反応だと、攻撃者は反応を引き出すために、サイバー攻撃を激化させるなどして事態をエスカレートさせかねません。反対に交渉に応じれば、攻撃者は『被害企業が攻撃を認識してくれている』と分かり、これ以上事態を深刻化させる必要がないと判断します」
「また攻撃者は、『24時間以内』や『48時間以内』などと身代金の支払いに期限を設け、プレッシャーをかけてきます。これに対して被害企業は『もっと時間が必要だ』と訴えることで、システムを復旧させる方法の検討や、身代金を支払うかどうかの意思決定に必要な時間を稼げる可能性があります。そのためにも交渉は不可欠です。一般的には、攻撃者がダークウェブに用意したチャットルームで交渉します」
――最近、ランサムウエアを使った攻撃者は、システムを使用不能にするだけでなく、「身代金の支払いを拒否すれば、盗み出したデータをインターネット上にさらす」と迫る「二重恐喝」を仕掛けるケースが増えました。
「二重恐喝に手を染める攻撃者は通常、交渉の過程でデータの一部や、窃取した範囲を被害企業に示すことで、実際にデータが手元にあることを証明してみせます。窃取の証明に用いられる情報は、被害の調査や、自力でのシステムの復旧にとても役立ちます」
「このように交渉に応じれば、有益な情報が得られる可能性があるわけです。得られた情報を基に、『盗まれたデータはさほど重要ではないから、公開されても問題ない』『自力でシステムを復旧できそうなので支払いには応じない』などと、適切に意思決定できます。あるいは『身代金は支払うが、金額の引き下げを要求する』などという判断になるかもしれません」
――被害企業は自分たちで攻撃者と交渉してもいいものでしょうか。
「絶対に交渉のプロに任せるべきです。システム障害の影響で生産が止まるなどして会社が大きな損失を出し続けている状況下での交渉は、非常にプレッシャーがかかります。未経験者が交渉すれば対応を誤り、事態を悪化させかねません」
「ですので、どんな状況にも動じないよう訓練されているプロに交渉を任せましょう。プロの交渉人は、被害企業が不利になるような情報を相手に不用意に与えることはありません。また相手と感情的なつながりを築き、望ましい方向に動かす方法を知っています」
「これは人質の解放を目指す治安当局の交渉人に求められる能力と同じです。シグニアにも長年にわたり人質解放交渉を手掛けた人物がおり、現在ランサムウエアの攻撃者との交渉を担っています」
――シグニアの交渉人は、「自分は被害会社に雇われた人物だ」と明かして交渉に臨むのですか。
「そうではありません。被害会社の一員として振る舞います。会社の中枢に近い立場にはいるものの、最終的な意思決定権を持たない人物を演じることが多いです。取締役会や最高財務責任者（CFO）など、最終的な意思決定者の『承認待ち』という理由で、交渉時に時間を稼げる利点があります」
「また家族構成などを含む具体的な人物像を作り上げ、『子どもを迎えに行かねばならないので、返信は5時間後になる』などと言えるようにします。その間に交渉人は取締役会のメンバーとミーティングしたりするのです。私たちは、身代金を支払うべきか否かは助言しません。意思決定者が自ら適切に判断を下せるよう、材料を示すのが私たちの役割です」
――身代金を支払っても、攻撃者が約束通り復号鍵を送ってくれるとは限りません。味をしめて追加の支払いを求めてくる可能性もあります。信用できる相手かどうかはどうやって判断するのですか。
「攻撃者の正体を把握することがとても大切です。洗練された攻撃者は、組織的にビジネスとしてランサムウエア攻撃を手掛けています。『身代金を支払っても再攻撃する』『復号鍵を渡さない』などの悪評が立てば、企業から信頼してもらえず、誰からも身代金を奪取できなくなります。そのため、洗練された攻撃者は約束を守ることが多いのです。これに対して、場当たり的な攻撃者は信用できません。彼らは、『約束を守る』との評判を確立した攻撃者の名をかたることもあるため、交渉人は、当社の調査チームと協力しながら、攻撃者の正体に迫ります。並行して当社の復旧チームが、システムの一刻も早い再稼働に向けて被害企業を支援します」
――攻撃者からの脅しに屈して、身代金を支払ったことが社外に漏れ伝われば、社会的に批判を受ける可能性があります。身代金を支払う場合、会社のレピュテーション（評判）はどう守ればよいでしょう。
「身代金の支払いに関して、社内で知っている人を可能な限り少なくする必要があります。ランサムウエアの被害に対処している人であっても、必要な人以外は支払いに関する会話はしてはいけません。攻撃者にも支払いの事実を明かさないよう求めましょう」
――シグニアは2年前に日本でサイバーセキュリティー会社、ラック（東京・千代田）と提携しました。
「ラックは日本におけるパートナーの1社です。ラックがシグニアの技術を用いて顧客のサイバー被害を調査しています」
（日経ビジネス 吉野次郎）
［日経ビジネス電子版 2025年10月28日の記事を再構成］