日本では「7Pay」の事件が連日報道されているが、実はこの1年ほどサイバー攻撃そのものは減ってきているとの情報もある。これは決して日本社会がサイバーセキュリティ対策を万全にしたから・・・では残念ながらない。攻撃者が本当に儲かるものに焦点を絞り始めたとする見方があり、僕もそれに賛成する。
デジタル諜報ともいうべき事案を別にして、国家がバックにいる場合も含めてお金を稼ごうとするケースが相対的に多くなり、それならば犯罪としても費用対効果を考えるようになったわけだ。2017年のランサムウェア「WannaCry」騒ぎについては、実際どれくらいの「身代金」が払われたかは不明である。
隠れた身代金の支払いがこれまでどのくらいあったかについても、僕らは推測するしかない。ところが、米国の自治体で「Ryuk」というランサムウェアに市のシステムが感染し、ファイル(16TB)が暗号化されて行政が止まってしまったため身代金を払ったという報道があった。
https://gigazine.net/news/20190708-ransomware-attacked-city-pay-to-hacker/
フロリダ州のレイクシティ市(人口約12,000人)でのことだが、犯行組織の要求を最初は拒んでいた市当局も行政がストップして2週間たつとたまらず、緊急議会に諮って50万ドル相当のビットコインを支払ったとこの記事にある。市議会という公式な場で決議したため、この事実はOpenになったわけだ。支払い後速やかに復号のキーが送られてきたというから、割合まっとうな犯人組織ではある。
これに対してFBIは、「身代金を払わない」のが基本と言っているのは、アナログ時代の誘拐事件と同じスタンス。とはいえ、2週間も市民に大混乱をもたらしたのだからさらに放置するのは、当局としてはできなかったろう。映画「キングの身代金」(エド・マクベインの同名小説が原本)に見られるように、捜査当局は電話の逆探知など科学捜査力で対応するものだ。それゆえ「身代金は払うな」と言えるのだが、ランサムウェアに対してFBIは有効な捜査方法・技術を持っているのだろうか?
今後日本でも警察当局が「身代金を払わないよう」言ってくると思うが、それならどう対処するのか官民で話し合っておく必要があるかもしれませんね。
