日本企業を狙う｢身代金ウイルス｣が増える背景 専門家が解説､企業が取り組むべき対策は

また、備えの一つに、サイバーリスク保険を活用するのも一考である。契約内容によるが、原因の調査費用や復旧費用、弁護士費用なども保険でまかなわれる。リスクはゼロにならないのだから、リスクを移転（共有）しておくことも重要な判断である。

こうした備えがなく攻撃を受けると、そもそも専門会社をネットで探すところから始めなくてはならず、その間に被害が拡大してしまう。サイバー攻撃に対して他人事だった経営者は、3～4日の徹夜を余儀なくされ、長く苦痛な戦いがはじまる。

事業継続に難しい判断を迫られる

身代金ウイルスの攻撃を受けたときに難しいのが、犯行組織との交渉だ。交渉はほとんどがメール。期間が短いのが特徴で、「1週間のうちに支払え」といった要求が多い。足がつかないように、ビットコイン（仮想通貨）での支払いを求められる。犯行組織が見元を明かすことは稀で、メールの文面から国籍などの組織の実態を推定する必要も出てくる。

犯行組織も事前にしっかりとターゲット企業の調査をしており、企業が支払えるギリギリの額を要求してくる。企業側は、弁護士やサイバーセキュリティの専門家などを入れて対応する必要がある。

――企業が身代金を支払ってしまうということもあるのでしょうか。

犯行組織の要求には応じず、警察当局に通報することがほとんどだろう。犯罪組織の資金源となることを防ぐためだ。だが、警察に被害届を提出しても、見えない敵に搾取されてしまったデジタルデータは戻ってこない。要求に応じるか否かは、子どもを誘拐された親の気持ちと同じ。交渉を無視しデータを暴露されるか、交渉を試みるか。事業継続の面から、経営者が難しい判断を迫られるケースは少なくない。

――改めて、日本企業にとって今後どのような対策が必要でしょうか。

望むと望まざるとにかかわらず、今後対策を迫られる企業が増えてくる。アメリカでは軍需産業の調達ガイドラインが定められ、また、イギリスでは政府と流通する民間企業は大小にかかわらず、「サイバーエッセンシャルズ制度」の認定取得をしなければならない。取引の継続にはセキュリティ対策が必須になっている。

さらに今後対応が求められるのが自動車業界だ。日本では2022年に自動運転車のサイバーセキュリティに関するWP 29という国際基準が適用され、完成車メーカーは自社だけでなく、取引先である部品メーカーなどのサプライチェーンのセキュリティ対策にも目を光らせる必要が出てくる。もはや自社だけがセキュリティ対策をしていれば足りるという時代ではなくなってきた。

かつての日本は、日本語特有の難しさが一種の「暗号」となり、サイバー攻撃から守られてきたという側面もあった。しかし今は、裏組織が潤沢な資金の下で日本語を堪能に熟す人を雇用すればよく、また、自動翻訳の精度が向上してきたことにより言語の壁は低くなった。 

サイバー攻撃の被害を他人事とは思わずに、平常時からできる備えをすることが何よりも大切になる。