KADOKAWAが大規模なサイバー攻撃を受けた。システム障害や情報漏えいなど被害は広範囲にわたるが、まだ全容は分かっていない。今回のニュースによって、サイバー攻撃の恐ろしさを実感した人も多いのではないだろうか。われわれがこの事例を踏まえて学ぶべきこととは何か、考えてみたい。(やさしいビジネススクール学長 中川功一)
● KADOKAWAハッカー攻撃から1カ月 いまだ完全復旧には至らず
出版やアニメ、教育など多様な事業を手掛ける大手エンターテインメント企業、KADOKAWAが受けた大規模なハッカー攻撃の被害が、日がたつにつれて明らかになってきた。
子会社ドワンゴが手掛ける「ニコニコ動画」がサービス停止となったり、出版流通システムにも影響が出たりするなど、幅広い領域で打撃を受けた。加えて、KADOKAWAの発表によれば、従業員や一部の取引先などの個人情報が流出した可能性が高い。
ただ、ハッカーによる攻撃から1カ月以上が過ぎた今も、完全復旧には至っておらず、全容解明には至っていない。
このニュースは、決して人ごとではない。
サイバーセキュリティー大手の米プルーフポイントが発表したレポート「State of the Phish 2024」によると、2023年の1年間でランサムウエア(KADOKAWAが感染したものと同種の、データを人質にするウイルスソフト)の感染を経験した日本の組織は、実に38%にも上る。これでも日本は諸外国よりはるかに状況は良い方で、世界平均では69%となっている。
では、もし攻撃の対象者となってしまったら、われわれはどのように対応すればいいのだろうか。
● 情報セキュリティーは 「企業価値」の重要構成要素だ
KADOKAWAが受けたサイバー攻撃は、ランサムウエアという手口のものだ。データを暗号化して見えないようにしたり、動作不能にしたりした後、状態を回復するために身代金を要求する。
良くも悪くもそれに備えるための損害保険までが用意されているため、企業側も容易に身代金を払ってしまう。かくして、反社会勢力にとっては比較的容易かつ安全に資金獲得ができる手段として、ランサムウエアは世界的に流行している。
KADOKAWAの事例から第一に学ぶべきことは、今日、企業価値というものは、高い競争力の事業だけでなく、それを取り巻く何重もの“防護膜”によってできあがっているということだ。つまり、事業そのものだけでなく、情報セキュリティーをはじめとする事業のサステナビリティーを高める取り組みの重要性が、過去に例を見ないほどに高まっているということである。すばらしい事業はそれだけでは成り立たない。それを維持していくことができる仕組みづくりが、重要な鍵を握る。
● 身代金支払いに応じるべきか 最善の選択は?
そしてもう一つ学ぶべきなのは、犯罪集団から身代金を要求された際の基本的なベストチョイスは、「毅然として要求をはねつける」ということだ。
KADOKAWAへの攻撃について犯行声明を行ったハッカー集団は、同社と身代金交渉を行ったことをほのめかした。今回、実際支払いがあったか否かは明らかになっていないが、海外では支払いに応じるケースも少なくないという。
ただ、先述の通り、最善の選択は支払わないことだと筆者は考える。
1970年代までは世界中で頻発していた飛行機のハイジャックは、現代ではほとんど起こらなくなった。その理由は、1978年に採択された「航空機ハイジャックに関する声明(ボン声明)」である。航空機ハイジャックの要求には決して応じず、徹底的に鎮圧することが、世界の主要国間で決議された。その結果、ハイジャックはリターンの可能性が限りなく低く、リスクの大きな行為であるとして、避けられるようになった。
日本企業のランサムウエア被害が諸外国に比べて少ないのも、実はまったく同じ構造にある。日本企業はこれまで、諸外国と比較して、ランサムウエアによる身代金要求にあまり応じてこなかった。反社会勢力に資金提供することが、どのような事情においても法律に違反することになるほか、社会規範としても忌避されるためである(皆さんも「そもそもメールを開くな」と会社から指導されているはずだ)。
また、日本は災害多発国であることから、バックアップを取る文化があり、仮にデータが暗号化されても復旧することができるのが一般的となっていることも大きい。
日本企業が交渉のテーブルに着かないことは、世界の反社会ハッカー集団に広く知られていた。組織的な犯罪を抑止するには、犯罪行為のリターンを限りなく小さくすることが効果的だ。これは、社会学・政治学・経済学などで広く知られている事実だ。
● 身代金の支払いに応じても データが復旧する可能性は低い
では、もし身代金を払うとどうなるのか。
前述のプルーフポイントの調査によれば、日本企業の場合、1回目の身代金支払いでデータやシステムが復旧した企業はわずか17%に過ぎない。それ以外の企業では、その後に追加要求が行われているという。
その理由は、ストレートに言って足元を見られるからだ。日本企業は、一般的には交渉のテーブルにつかない。そんな中で、交渉に乗ってくる企業がいたとすれば、犯罪集団側は「この会社は相当に困っているに違いない」と認識する。それゆえ、足元を見られてもっと要求されてしまう。
相手は反社会組織だ。要求に応えたとて、約束通りにデータが復旧する保証はどこにもない。皆さんは、「反社会勢力の要求に応じて、良い方向に転がることはない」ということを肝に銘じておいてもらいたい。
再三の指摘となるが、KADOKAWAの事例は人ごとではない。われわれはもう一度、自社の姿勢を振り返り、学びを得る必要がある。サイバーセキュリティーの重要性を再認識し、反社会勢力の脅しには屈しないこと。いずれも、事業のサステナビリティーを高めるという意味で、現代ビジネスに欠かせない重要論点と認識しておきたい。