身代金支払いの現実
ランサムウェア攻撃を受けた場合、攻撃者から暗号化されたデータの復号と引き換えに身代金を要求されます。日本企業でも支払い事例が報告されていますが、支払っても必ずデータが復旧するとは限らず、再度攻撃されるリスクもあります。
法的リスク
| 法令 | リスク |
|---|---|
| 外為法 | 攻撃者が制裁対象の国・団体の場合、支払いが外為法違反となる可能性 |
| テロ資金提供処罰法 | 攻撃者がテロ組織と関連する場合、テロ資金提供に該当する可能性 |
| OFAC(米国) | 米国の制裁対象団体への支払いは、米国の法令に違反する可能性(米国との取引がある企業) |
| 株主・取引先への説明責任 | 支払い判断の合理性について株主代表訴訟や取引先からの説明要求のリスク |
⚠️ 日本政府の立場
日本政府は身代金の支払いを推奨していません。NISC(内閣サイバーセキュリティセンター)は「身代金の支払いは犯罪組織への資金提供につながり、新たな攻撃を助長する」との見解を示しています。
判断のポイント
- バックアップからの復旧可否:バックアップがあれば支払い不要。これが最も重要な事前準備
- 攻撃者の信頼性:支払っても復号鍵が提供される保証はない(実際に提供されないケースも報告)
- 事業停止の影響:復旧までの期間と事業への影響(売上損失、契約違反等)
- 法的リスクの確認:攻撃者が制裁対象かどうかの確認(外部専門家への相談が必須)
- サイバー保険の適用:保険で身代金がカバーされるか(保険会社の事前同意が必要な場合も)
事前準備の重要性
身代金を支払う/支払わないの判断を事前にシミュレーションしておくことが重要です。
- バックアップの3-2-1ルールを徹底し、オフラインバックアップを保持
- インシデント対応計画にランサムウェアシナリオを含め、定期的に訓練
- サイバー保険の加入と補償範囲の確認
- 法律の専門家(サイバーセキュリティに詳しい弁護士)との関係構築
- フォレンジック事業者との事前契約(インシデント発生後では手遅れ)
まとめ
ランサムウェアの身代金支払いには法的リスクがあり、支払っても復旧が保証されません。最も効果的な対策は「バックアップからの復旧体制の構築」です。支払い判断が必要になる前に、バックアップ、インシデント対応計画、サイバー保険、法的相談先を整備しましょう。