※この記事は、公開から数時間限定で、登録会員（無料）もお読みいただけます。詳しくはこちら。

アサヒグループホールディングスやアスクルが「ランサムウエア（身代金要求型ウイルス）」を使ったサイバー攻撃に遭い、多大な損失を被った。感染したシステムは暗号化され、使えなくなる。「復旧させるのに必要な『復号鍵』が欲しければ身代金（ランサム）を支払え」と恐喝するのが攻撃者の手口だ。被害企業を支援するイスラエルのサイバーセキュリティー会社、Sygnia（シグニア）のラウロ・バーカートアジア太平洋・日本担当副社長に、ランサムウエアに感染してしまったときの交渉術を聞いた。

シグニアのラウロ・バーカートアジア太平洋・日本担当副社長（写真＝シグニア提供）

道義的な理由から攻撃者と交渉することに抵抗感を抱く日本企業が多く存在します。そもそも攻撃者と交渉すべきですか。

ラウロ・バーカート氏：はい。実際に身代金を支払うかどうかに関わらず、交渉すべきです。

　被害企業が無反応だと、攻撃者は反応を引き出すために、サイバー攻撃を激化させるなどして事態をエスカレートさせかねません。反対に交渉に応じれば、攻撃者は「被害企業が攻撃を認識してくれている」と分かり、これ以上事態を深刻化させる必要がないと判断します。

　また攻撃者は、「24時間以内」や「48時間以内」などと身代金の支払いに期限を設け、プレッシャーをかけてきます。これに対して被害企業は「もっと時間が必要だ」と訴えることで、システムを復旧させる方法の検討や、身代金を支払うかどうかの意思決定に必要な時間を稼げる可能性があります。そのためにも交渉は不可欠です。一般的には、攻撃者がダークウェブに用意したチャットルームで交渉します。

アサヒグループホールディングスが入居する東京・墨田のアサヒグループ本社ビル（写真＝PIXTA）

最近、ランサムウエアを使った攻撃者は、システムを使用不能にするだけでなく、「身代金の支払いを拒否すれば、盗み出したデータをインターネット上にさらす」と迫る「二重恐喝」を仕掛けるケースが増えました。

バーカート氏：二重恐喝に手を染める攻撃者は通常、交渉の過程でデータの一部や、窃取した範囲を被害企業に示すことで、実際にデータが手元にあることを証明してみせます。窃取の証明に用いられる情報は、被害の調査や、自力でのシステムの復旧にとても役立ちます。

　このように交渉に応じれば、有益な情報が得られる可能性があるわけです。得られた情報を基に、「盗まれたデータはさほど重要ではないから、公開されても問題ない」「自力でシステムを復旧できそうなので支払いには応じない」などと、適切に意思決定できます。あるいは「身代金は支払うが、金額の引き下げを要求する」などという判断になるかもしれません。

被害企業は自分たちで攻撃者と交渉してもいいものでしょうか。

バーカート氏：絶対に交渉のプロに任せるべきです。システム障害の影響で生産が止まるなどして会社が大きな損失を出し続けている状況下での交渉は、非常にプレッシャーがかかります。未経験者が交渉すれば対応を誤り、事態を悪化させかねません。