第746号コラム:石井 徹哉 理事(独立行政法人大学改革支援・学位授与機構 研究開発部教授)
題:「ランサムウエアに対して「身代金」を支払ってはいけない理由のいくつか」
1 犯罪が実行されるのは、行為者に動機があり、実行のための障壁が少ない場合が多いといえます。実行のための障壁は、激昂した場合などほとんど無理といえるときでも実行されたりしますが、比較的合理的に行動する犯罪者の場合、容易に実行できる状況を見据え、犯行遂行のための契機をついて実行したり、計画的に犯行を容易に遂行できる状況を作出したりします。
ランサムウエアにより財産を脅し取る犯罪では、犯行の目的ないし動機は利欲的であり、より確実に利益を得られるように合理的かつ組織的に行動すると推測されます。ランサムウエアの感染させるための手法は、すでにいろいろ観測されていますが、犯行遂行を容易にさせない環境作りとして情報システムの脆弱性を可能な限りなくしていくことが重要であるとされています。いずれにしても、犯行による利益と損失を計算し、その計算に基づき合理的に選択した結果として犯罪が遂行されるという前提がかなり打倒しているのではないかと思われます(こうした考え方は、すでに状況的犯罪予防 (Situational Crime Prevention) として提案されてきました。また、マクロ的にも、CEPTED (Crime Prevention Through Enviromental Design)として犯罪遂行を困難にする物理的環境の構築が提案されてきました。例えば、周囲からの目を気にさせることで侵入盗の犯行をこんなんするため、境界にブロック塀や板塀ではなく、フェンス、低い植栽などを設置するなど。)。
2 ランサムウエアの犯行に対して、物理的な世界における障壁(又は犯行の契機を奪うもの)となるもの(侵入盗でいえばピッキング困難な鍵、監視、防犯装置など)に対応するのがおそらく情報システムのセキュリティといえるでしょう。他方で、利欲犯としての動機を萎えさせること、少なくとも犯行を遂行してもなんらの利益も得られないようにすることもランサムウエアの継続的な犯行を抑止するためには、必要といえます。
過激派活動家の出所や安倍元首相の殺害事件などにおいて、「テロリストに名を与えるな。」「テロリストの主張を受け入れるな。」などと言われていることも、これと同様の話になります。話はそれますが、あくまで個人的な所感ですが、70年代に赤軍派等によるハイジャック事件などにおいて政府がその要求を受け入れ、断固たる対応をとらなかったことが、後のテロを誘発し、さらにはわが国でなおシンパが多く認められる要因の一つになっていると思われます。
3 このような観点からみたとき、ランサムウエアによる脅迫者に対して、財産を与えるということは、その場しのぎとしての被害回復が可能とはなっても、利欲的動機をもつ犯罪者(多くは組織的犯罪者)をますます増長させ、さらなるランサムウエア被害をもたらす結果となりえます。単純な恐喝事件であっても、一度屈して金銭を支払えば、さらに継続手に脅迫することでさらなる金銭等の喝取に繋がることはよく見られることです。学校等におけるいじめも、一度目の成功体験が継続的ないじめへとつながり、さらなる凶悪化へと進むこともよくきくことでしょう。これはランサムウエアを投入する犯罪者も同様です。
被害者が、ここで利益を供与しておけば復号化して、業務の遂行がより早く容易にできるということで、暗号資産等を供与してしまった場合、システム等のセキュリティ対策を強化し、さらなる攻撃に対する耐性を高めたとしても、犯罪者からすれば、この企業や団体は、前に一儲けできたので、また攻撃して、再度設けようとすることも考えられます。あるいは、特殊詐欺や悪徳商法において見られるように、利益を得られた被害者リストがその種の犯罪者(予備軍)において出回ることもあるでしょう。一度支払ったら、忘れた頃に狙われることは覚悟しておく必要があります。
また、被害企業又は被害団体等の業種や規模に類型化され、例えば、「日本の病院はすぐに払ってくれる。」などとの感覚を行為者が持てば、同様の規模の病院を再度攻撃のターゲットにしたりします。特にシステム構成が類似している、同じシステムを使っているなどの共通性がある場合は、注意が必要です。少なくとも、日本は金払いがいいなどとなれば、今後一層攻撃が激しくなることが予想されます。つまり、ある企業や団体が暗号資産等を犯罪者に支払うことは、日本における他の企業や団体への犯行の拡大にも繋がります。コラム734号で述べたように、ランサムウエアの支払を仲介する企業に対しては、組織犯罪者を支援するものとして厳罰に処し、支払を抑制することが必要な理由でもあります。
【著作権は、石井氏に属します】