ランサムウェアと経営幹部：法律の専門家からのインサイト

何年も前から、ランサムウェアは企業が対処しなければならないサイバー脅威の代表格となっていますが、世界的なパンデミックが始まった後は、その影響はかつてないほど大きくなっています。2016年1月1日以降、平均して毎日4,000件ものランサムウェア攻撃が発生しています。パンデミック後は、企業は分散したユーザーをサポートするために迅速に適応しなければならなかったため、デジタルトランスフォーメーションの取り組みが加速し、業種を問わず組織内の攻撃可能な領域が大幅に拡大しました。

それ以来、ランサムウェアの脅威は増加の一途をたどっています。主要な攻撃手段である悪意のあるメールは急増し、身代金の要求額は2018年の5,000ドルから2020年には平均20万ドルに拡大しました。標的も広がる一方で、ランサムウェアは家庭内の問題となりました。今では政府の最高レベルに加えて、企業内の経営幹部も注目しています。ESG社のグローバル調査によると、企業の取締役会の85%以上が、2年前に比べてサイバーセキュリティへの取り組みを強化しています。

私たちは先日、Goodwin法律事務所の弁護士であるDavid Kantrowitz氏と、ニュースで取り上げられたランサムウェアの波について話し合いました。Kantrowitz氏は、事務所のComplex Litigation & Dispute Resolution（複雑な訴訟と紛争の解決）プラクティスのメンバーであり、金融業界グループに加えてData, Privacy and Cybersecurity（データ、プライバシーおよびサイバーセキュリティ）プラクティスのメンバーとしても活躍しています。

今回のインタビューでは、ランサムウェアが経営陣の注目を集めている理由や経緯、身代金支払いの合法性、サイバーセキュリティのリーダーがこのテーマについて経営幹部や役員をどのように教育すべきかについての考えを述べています。

[これらの回答は、個々のお客様の具体的な状況が考慮されていないため、法的なアドバイスとして解釈されるべきではありません。アドバイスを必要とする特定の状況がある場合は、Goodwin Procterに連絡していただければ、適切な弁護士をご紹介します]

質問：法律の専門家として、またこのテーマに関する経験豊富な専門家としてのあなたの視点から、ランサムウェアに関する現在の状況を教えてください。

David Kantrowitz（DK）：私たちは今、転換点にいるように感じます。冬から春にかけて、前例のないサプライチェーンへの攻撃や重要インフラへの攻撃などの非常に活発な活動が繰り広げられました。ランサムウェアが政府の最高レベルにまで達し、こんなことはこれまでに見たことがありません。そして、この種の活動をする悪質な攻撃者にとっては、かつてなくリスクが高まっています。いくつかの有名なグループが休業したり、行方を眩ましたりしています。つまり攻撃者たちは、これまでのような活動を続けて政府に睨まれるリスクを冒すのか、活動を止めるのか、あるいは別の方法で再編成して再出発するのかを判断する段階に来ているのです。ランサムウェアの次の波は、これまでの波とは異なるものになるでしょう。

質問：ランサムウェアの新しい波が来るたびに、組織からの注目度が高まり、今では政府までもが注目しているようです。前回の波は、注目度という点ではどうでしたか?

DK：確かに、この波は企業や政府の最高レベルにまで達しました。FBIは、これまでとは違う点でランサムウェアに関心を持っています。企業は当然のことながら対策に力を入れています。誰もが次の被害者になることを心配しています。彼らは適切なセキュリティ対策を講じる一方で、攻撃が成功した場合にどう対応するかも重要だと考えています。

質問： Ransomware-as-a-Serviceは、脅威ランドスケープをどのように変えましたか?

DK： 参入障壁が以前よりもはるかに低くなりました。私たちは今、最初にランサムウェアを生み出した人たちほどには優れていない、多くの攻撃者を相手にしています。また、グループによって動機が異なるため、さらに予測不可能な状況になっています。システムを暗号化するだけでなく、データを奪ってダークウェブで公開すると脅す「二重恐喝」を行う者もいます。また、データをまったく取らないグループもいます。予測がつかず、防御するのが難しいのです。

質問： ランサムウェアに関して、今日、組織は何を間違えているのでしょうか?

DK： セキュリティ対策の改善は継続して行われるべきですが、ランサムウェアは本当に構造的な問題で、被害者はそれ自体何も「間違った」ことはしていません。攻撃には大きく分けて2つのタイプがあります。中には防御がほとんど不可能なものもあり、ベンダーやソフトウェアを介して侵入してくるサプライチェーン攻撃がそれにあたります。これらの攻撃はより巧妙で、非常に高いレベルにあるため、止めることはほとんど不可能です。また、フィッシングやその他の既存の脆弱性を利用して侵入するランサムウェアもあり、ランサムウェア攻撃の多くはこのカテゴリーに属します。ランサムウェアを100%防ぐことはできませんが、簡単な予防策を講じることで、確実に脆弱性を減らすことができます。これこそが、企業が予防の観点から真に注力すべきことなのです。

質問： さきほど「二重恐喝」というお話がありましたが、ランサムウェアがネットワークに侵入した場合、企業はデータが流出したと考えるべきでしょうか?

DK： 何事も調査が完了するまでは、いかなる予断も持つべきではありません。根拠のない推測は、コストの増大とレピュテーションの低下を招き、不正確な情報を発信した後に信頼を回復することは困難です。ランサムウェアによるデータの流出は以前よりも増えていますが、ランサムウェアに侵害されてもデータが流出しないケースも見受けられます。ランサムウェアの亜種の中には、データを流出させる技術的能力を持たないものもあります。

質問： この攻撃によって身代金の支払いが必要になった場合、組織は支払うべきでしょうか? ランサムウェアの支払いに関する合法性は、時間とともに進化していくのでしょうか?

DK： これは非常に難しい質問です。「誰もお金を払わなければ、犯罪は無くなる」という考えに反論するのは難しいことです。しかし、ここに座って仮定の話をするのと、自分の会社が営業停止に陥り、再開できなければ1日に数万ドル、あるいは数十万ドルの損失を被る可能性がある場合とでは、状況が全く異なります。最終的には、企業は個々の状況に基づいて、事業の全部または一部が運営できなくなった場合のコストや、バックアップの存在や品質を考慮して判断することになるでしょう。

合法性については、身代金の支払いを全面的に禁止するものではありませんが、企業はその支払いが制裁関連者（sanctions nexus）に関係せず、外国資産管理局（OFAC）の規制に抵触する可能性がないことを常に確認する必要があります。

身代金の支払いを完全に違法化するという話もありますが、私はその可能性は低いと考えています。多くの企業はこれからもビジネスのために支払うことを選択するでしょうが、FBIに協力せずに侵害の事実やインシデントを隠すようになれば、政府の調査を妨げる可能性があります。しかし、新たな報告義務が課せられる可能性は十分にあると思います。ほとんどの企業はすでにランサムウェアを法執行機関に報告していますが、支払いの詳細については必ずしも報告していません。報告が義務化されれば、それも変わるでしょう。

質問： ランサムウェアが経営幹部や役員室の問題になり始めたのはいつ頃ですか?

DK： ランサムウェアが注目され始めたのは、ここ2～3年、特にここ1年半くらいのことだと思います。しかし、Colonial Pipelineへの攻撃の際、パイプラインに依存していた州で人々がガソリンのために列をなしたことから、注目度は新たなレベルに達しました。人々の日常生活に影響を与えるというイメージは、以前にはなかったものです。つまり、経営幹部やボードルームだけでなく、リビングルームにまで注目されているのです。

質問： このテーマについて、経営陣や役員を教育するには、どのような方法があると思いますか?

DK： ランサムウェアが自社にどのような影響を及ぼすのかを伝えることが重要だと思います。顧客やその他のステークホルダーにどのような影響があるのか、机上演習やシナリオを作成してみましょう。技術的な知識がなくても、その被害の大きさは理解できるはずです。現実的な言葉で語り、さまざまな判断ポイントを説明することで、多くの経営者が興味を持ってくれると思います。2年前に比べて、そのような取り組みが増えています。

質問： 取締役会には、事業に関するさまざまな分野の委員会があります。ランサムウェアに特化した委員会を設置することを推奨しますか? 他の委員会で定期的に取り上げるべきテーマでしょうか?

DK： ランサムウェアだけに特化した委員会を設置する必要はないと思いますが、サイバーセキュリティの問題については定期的に議論すべきであり、その中にランサムウェアも含まれるべきです。それらの議論は議事録に記録されるべきで、取締役会がこれらの問題に真剣に取り組んでいることを示すことができます。そうすることで取締役会を保護し、取締役会が適切な注意義務（Due Diligence）を払い、これらの問題について考え、会社と株主に対する信認義務を果たしていることを示すことができます。

質問： 現在、ランサムウェアに関連して、かなりの数の訴訟が行われています。今後、このような訴訟が増えると思いますか? また、サイバーセキュリティへの今後の投資に関して、経営陣が考慮すべき点はありますか?

DK： 確かにこれは1つの懸念事項です。訴訟の可能性がどの程度あるかは、顧客や投資家の性質や、訴訟を起こす可能性がどの程度あるかなど、さまざまな要因に左右されます。個人データとビジネスデータの内訳はどうなっているのか? 流出する可能性のあるデータの性質と、それがどの程度の損害をもたらすか? 企業のリスクプロファイルはそれぞれ異なります。

サイバーセキュリティと企業経営者との関係について詳しく知りたい方は、このESGのeBook「Cybersecurity in the C-suite and Boardroom」を無料でダウンロードしてご覧ください。このeBookでは、ビジネス、サイバーセキュリティ、ITの上級専門家を対象としたグローバル調査に基づく洞察を提供しています。

‍