コラム第913号:「ランサムウェア事案とランサム事案の違い」
第913号コラム:北條 孝佳 理事(西村あさひ法律事務所・外国法共同事業 パートナー 弁護士)
題:ランサムウェア事案とランサム事案の違い
1 ランサムウェア事案
多くの組織において「ランサムウェア事案」が発生していることは周知の事実である。しかし、現在では、ランサムウェアを用いない「ランサム事案」も少なからず発生している。サイバーセキュリティ領域では、「ランサムウェア事案」と「ランサム事案」という用語があまり区別されずに用いられることが多いものの、法的対応、被害実態、政策上の位置付けでは異なる意味として使われることもある。
特に、近年発生している「暗号化を伴わない身代金要求型サイバー攻撃」(国内では「ノーウェア・ランサム」と呼ばれる。)により、従来の「ランサムウェア事案」の定義では実態を捉えきれない状況が生じている。本コラムでは両者の違いを整理する。
2 「ランサムウェア」の定義と進化
(1) 従来のランサムウェア
ランサムウェア(Ransomware)は、「身代金(Ransom)」と「ソフトウェア(Software)」を組み合わせた造語である。これは、攻撃者がサーバやネットワークに侵入し、ファイルやシステムを暗号化又はロックして使用不能にした上で、その復旧と引き換えに対価(身代金)を要求するマルウェアの一種を指す。ランサムウェアを悪用した従来の「ランサムウェア事案」は、可用性(Availability)を侵害することに重点があった。被害組織は業務の全面停止という深刻な事態に直面することから、対価の支払を検討せざるを得ない状況に追い込まれることとなる。
(2) 二重恐喝(ダブル・エクストーション)への進化
2018年頃から、ランサムウェア攻撃は進化を遂げ、二重恐喝(Double Extortion)が主流となった。これは、ファイルを暗号化するだけでなく、暗号化前に機密データを窃取し、①暗号化を解除するための復号鍵がほしければ身代金を支払え(可用性の脅威)、②窃取した機密データを公開されたくなければ身代金を支払え(機密性の脅威)とする二重の恐喝を行うものである。
この進化により、ランサムウェア事案は、単なる可用性の脅威から、情報漏えいという機密性(Confidentiality)の侵害も含み、法的・信用リスクを伴う複合的な脅威へと変貌した。
3 「ランサム事案」の包括的定義と「ノーウェア・ランサム」
(1) 暗号化を伴わない「サイバー恐喝」
さらに進化を遂げ、近年、登場しているのが「非暗号化型身代金要求(ノーウェア・ランサム)」と呼ばれる事案である。
ノーウェア・ランサムとは、攻撃者が被害システムの機密データを窃取し、「これらのデータを公開されたくなければ身代金を支払え」と恐喝するものである。ファイルの暗号化は行われず、もっぱら機密性の侵害に重点が置かれている。被害組織は、窃取されたデータが公開されないことを期待して身代金の支払を検討する。
(2) ランサム事案
このような非暗号化型身代金要求の事案は、「ランサムウェア」を用いておらず、金銭を脅し取る行為として単なる恐喝事案となり、この種の事案は「サイバー恐喝(Cyber Extortion)」とも呼ばれる。ファイルが暗号化又はロックされる従来の「ランサムウェア事案」に対し、「ランサム事案」は「身代金要求型」というサイバー恐喝も含めた定義といえる。
ただし、「ランサム事案」という名称の場合、身代金(ランサム)の要求を伴う全てのサイバー攻撃を指すことにもなるため、その境界線、例えば、DDoS攻撃予告や不正アクセス予告による恐喝等も含むのかといった問題も生じ得る。
4 日本のアプローチ
警察庁は、ノーウェア・ランサムによる事案とランサムウェア事案とを区別して統計情報を公開している。
他方、国家サイバー統括室(NCO)は、2025年10月1日から、DDoS攻撃事案及びランサムウェア事案に関する報告様式の統一を実施している[1]。ただし、当該様式において「ランサムウェア事案」とは何かを定義しておらず、「暗号化型」と「非暗号化型」の区分を設けているため、「ランサム事案」を意味しているように思われる。また、身代金要求の有無の区分も設けているため、身代金を要求しないサイバーインシデントも含めている。
よって、共通様式では「ランサムウェア事案」という名称を用いているが、実態としては暗号化の有無を問わない身代金要求型のサイバー攻撃全般に加え、重要システムの停止、データの窃取も含めたインシデント全体を把握することを重視した政策的な意図が反映されているものと思われる。
5 米国のアプローチ
(1) IC3の分類
米国連邦捜査局(FBI)が運営し、全米ホワイトカラー犯罪センター(NW3C)とのパートナーシップとして設立されたIC3(Internet Crime Complaint Center)が公表する年間レポートでは、ランサムウェアを「被害者のデータを暗号化し、復号のために金銭を要求するマルウェア」と定義している。そのため、ランサムウェア事案の統計には、暗号化を伴う「ランサムウェア事案」を集計し、暗号化を伴わない事案は「Extortion(恐喝)」に分類される。
(2) CIRCIAの分類
米国では2022年に制定されたCIRCIA(Cyber Incident Reporting for Critical Infrastructure Act of 2022)に基づきCISA庁が規則を策定し、一定の重要インフラ関連事業者に対して、ランサム攻撃を含む①重大なインシデントが発生した場合の報告と、②ランサム事案の身代金支払をした場合の報告を義務付ける制度が導入される予定である。なお、当該制度は、2026年の施行が見込まれている。
このうち②の報告は、ランサム攻撃への対応として金銭等を支払った場合に求められるものである。この攻撃には、マルウェアや攻撃コードの使用又は使用することの脅迫に加え、サービス拒否(DoS)攻撃等の他のデジタル手段の使用又はこれを使用することの脅迫も含まれ、これらを通じて情報システムの運用を妨害したり、データの機密性及び可用性、完全性を損なわせたりすることによって身代金を強要する行為が該当する。
このように、CIRCIAは報告が必要となる支払を広く把握する意図を有すると思われる。
6 オーストラリアのアプローチ
オーストラリアでは、サイバーセキュリティ法2024に基づくランサムウェア/サイバー恐喝支払の報告制度が、2025年5月30日から開始された。同法では、一定の事業体は、ランサムウェア又はサイバー恐喝に関連して金銭その他の利益を提供した場合、又は他の事業体が自社に代わって支払ったことを認識した場合には、72時間以内にオーストラリア政府への報告を義務付けている。
これは、暗号化の有無にかかわらず、ランサム事案における身代金支払全般を広く把握する制度と位置付けられる。
7 最後に
ランサムウェア事案とランサム事案の違いは、恐喝方法の変化によって生じ、国際的な対応は、暗号化を重視する厳密な定義のアプローチと、被害実態を重視する包括的定義のアプローチに二分される。ただし、被害組織にとっては、暗号化の有無にかかわらず、身代金支払を強要されるという点で脅威の本質は同じであろう。「ランサム事案」という包括的な概念を用い、サイバー恐喝という側面を対策の枠組みに含める必要があるかもしれない。
国境を越えたサイバー犯罪に対処するため、国際的に整合した定義の統一が望まれる。これにより、被害件数の正確な比較、国際捜査の連携強化、法制度の統一化が促進されることにつながる。
ランサム事案は、単なる技術的な問題ではなく、経済的脅威、法的リスク、そして国家安全保障にも関わる複合的・多層的な脅威である。国際協調を進める上でも、実態に沿った定義の明確化が必要ではないだろうか。
[1] 2025年10月1日、NCO「サイバー攻撃による被害発生時のインシデント報告様式の統一について」
https://www.cyber.go.jp/policy/group/cyber/yoshikiichigenka.html
【著作権は、北條氏に属します】
