- 2020/03/03
- ランサムウェア
ランサムウェア対応のジレンマ:身代金は支払うべきか、支払わざるべきか
Post by : Sam Curry
ランサムウェア対応のジレンマ:支払に応じるべきか、拒否するすべきか
誰もが見たことのある映画にこんなシーンがありました。眼光鋭い1人の警察官が深く息をつくと、きっぱりと言い放ちます。「テロリストとは交渉しない。絶対にだ」。しかし、実際の世界ではそうはいきません。交渉をすべき時と交渉を拒否する時を明確にはっきりと判断できる基準があればよいのでしょうが、交渉をしたり、人質のために身代金を支払ったりするべきであるのか、そうでないのかの判断は、数文字で語れるほど単純ではないのです。
これは、ランサムウェアの身代金の場合も同じです。政治家が簡単に答えを出せるほど簡単な問題ではありません。現在、ニューヨーク州で、ランサムウェアに関する2つの法案が提案されています。共和党の上院議員、Phil Boyle氏が提出した法案(S7246)と、民主党の上院議員、David Carlucci氏が提案した法案(S7289)です。
どちらの法案も身代金の支払いを違法としていますが、1つの法案は政府関係機関に適用され、もう1つの法案は適用範囲がもっと広くなっています。「もはや我慢の限界」であり、強い姿勢でランサムウェアに対処することが重要であるとする考え方がここにはありますが、この種の法律は、身代金の支払いが正しい対処でないことを示すだけのような内容であった場合、ランサムウェアの被害者に本当の意味で損害を与える可能性があります。
話を先に進める前に、倫理的な判断基準と法的な判断基準の違いを明確にしておきましょう。倫理的な判断基準は、善悪を判断するための仕組みとして機能します。たとえば、宗教の判断基準では、善が神性と同じ立場にあると考えます。一方、功利主義のような思想の判断基準では、善とは、最も多くの人々にとって最も望ましい結果を意味すると信じているのです。
ここでは、どのような判断基準も支持しようとしているわけではありません。重要なことはそれぞれの違いに注目することです。法律とは、すべきこととすべきでないことを体系的にまとめたものであり、社会によっては、その内容が非常に厳しいものになることもあるからです。我々は、自らが選択した倫理的な判断基準に合致する法案を通過させる必要があります。
「身代金は絶対に支払わない」とする姿勢は、いかなる代償を支払ってでも犯罪は阻止せねばならないと主張しているように受け取れます。ここでの倫理が示唆しているのは、犯罪は究極の悪であり、食い止める必要があるということです。確かに、闇の世界に資金を提供するような行為は受け入れられません。どんなミスも見逃さない厳格かつ統制のとれたかたちで皆が一丸となってそれを阻止する必要があります。ここで問題となるのは、この主張の「あらゆる代償」という部分です。本当に、どんな代償も厭わないという意味なのでしょうか。
原子力発電所がランサムウェアの影響を受けている状況を考えてみてください。あるいは、ニューヨーク州などの州にある12の外科診療所が、患者の対応に追われているなかでランサムウェアの攻撃に遭遇した事態を想像してみてください。このような場合には、人の命が危険にさらされているのです。そこで別の倫理的な判断基準にたどり着きます。それは、人々の生活や人命を優先する判断基準であり、最も重要な判断基準なのです。
身代金の支払いを違法にするよう法律が定められているなかで、ランサムウェアの影響で核施設に重大な影響が生じているとしたら、あるいは、ランサムウェアのために手術データや手術機器のトラブルが生じその復旧を待っている12人の命があるとしたら、それでもその法律を守れると言えるでしょうか。罰則があるからといって支払いをせずに済ませられるでしょうか。あるいは、罰則が重すぎると分かっていても、重大な問題が生じている場合、身代金支払いの判断次第で一般市民に損害が生じるリスクはないでしょうか。
善悪の基準と法律のあいだで常に整合性が取れているとは限りません(アパルトヘイトの例を見ればそれは明らかです)。そのため、議員の方々には、法制化にあたっての慎重な行動を求めます。テクノロジーや、あらゆるケース、トレードオフを、細心の注意を払って把握するよお願いしたいものです。性急にことを進めてはなりません。ニューヨーク州であれどこであれ、議員たちは現在と将来を考慮しながら善意で行動しているものと信じています。ここでは、現実的な視点から彼らのために役立つ話をしたいと思います。
倫理的な観点を考慮し公共の安全に配慮したガイドラインを策定して、倫理面の慎重な検討を義務付けることが不可欠です。ランサムウェアが要求する身代金の支払いを認める法律も認めない法律も現時点では存在しません。はっきりと言えることが1つあります。一般的に言えば、ランサムウェアで脅迫を行うサイバー犯罪者に金銭が渡るのを最小限に食い止めようとする行動は誤りではありませんが、そうではない場合もあるのです。
それはどういったときでしょうか。ランサムウェアの攻撃を受けていたとしても、身代金を支払えば、地下鉄の正常な運行を維持できたり、原子力発電所が制御不能になるような事態を回避できたり、難しい腫瘍摘出手術を無事に完了できたりするとしたら、その代償をどう考えるべきでしょうか。めったに発生しない厄介なケースに対処するための手続きを整備し、それに応じて罰則を決めねばなりません。「身代金を支払うなかれ」とただ法律を定めれば済む話ではないのです。一般の人々にも法律の専門家に対しても、それ以上の配慮をせねばなりません。
記述する法律の条文において、例外を認め、ガイドラインを提供することは可能です。身代金支払いの無条件の凍結を求めず、支払いを検討する際に独立した評議会の開催を義務付けるようにすることもできるはずです。そのような法律が、全く損害を生じないか生じても損害を最小限に抑えられるのが理想的です。ランサムウェアを操る犯罪者の手に資金が渡らないようにして、その存在の重要性を皆が認める地域の重要インフラや新たなイノベーションに投資ができるようにするのが望ましいのは確かです。
法の支配下にある社会に生きている以上、ひとたび制定された法律には従う必要があります。守れないような法律であるとしたら、廃止せねばなりません。ランサムウェアに対する苛立ちをあおる、道義に反し正当性を欠いた法律を黙って受け入れるわけにはいきません。ランサムウェアの被害者がさらに苦しむだけの結果につながるような法律であればなおさらです。
ホワイトペーパー「ランサムウェアとは何か」
ランサムウェアによる攻撃は、ほかの攻撃手法にくらべ手間がかからず、その一方で攻撃者は、ずっと大きな利益を手に入れています。スパム型の攻撃はその効果がほぼ薄れており、また、クレジットカードや銀行口座の情報を盗む手口は、盗んだ情報を使って実際に金を盗み取るために、一定の犯罪基盤を必要とします。
では、ランサムウェアは、他のマルウェアとは何が違うのか?
本書から3つの特徴を学ぶことができます。
https://www.cybereason.co.jp/product-documents/input/?post_id=1171
