日本でランサムウエア(身代金要求型ウイルス)被害が深刻になり、政府は経済制裁の対象として取引を禁じる外国の団体にサイバー攻撃集団を新たに指定した。こうしたなか、「身代金」支払いの是非に注目が集まっている。
脅迫を受けた企業が自主的な判断で金銭を支払うことが、直ちに法令に抵触するわけではない。だが攻撃者集団の素性や、支払われた状況によっては法令違反に問われると専門家は指摘する。
政府がラザルスを取引禁止相手に
外務省は2022年12月、外国為替及び外国貿易法(外為法)に基づく経済制裁の対象リストを更新し、金銭支払いなどを実質的に禁じる(許可が必要)外国の団体に、サイバー攻撃集団「Lazarus Group▼」を追加した(図1)。ラザルスは北朝鮮に拠点があり、同国政府の外貨獲得を担っているとされている。
さらに外務省は経済産業省や財務省との連名で、ラザルスが金銭要求などに使うビットコインのアドレス▼のリストを公表し、取引を禁じた。これらは北朝鮮による弾道ミサイル発射などに対して経済制裁を強めるための措置である。
サイバーセキュリティーの法制度に詳しい森・濱田松本法律事務所の蔦 大輔弁護士は「攻撃者がラザルスであると認識しながら金銭要求に応じれば、外為法に抵触する恐れがある」と指摘する。攻撃者が限定されるとはいえ、身代金の支払いそのものが法令違反になる恐れのある初めてのケースとみられる。被害企業が身代金を支払うと判断した場合は、攻撃相手の素性を確認する必要がある状況になったわけだ。
2021~2022年に国内の企業や病院などで発生したランサムウエア被害の多くは、ロシア系とみられる攻撃者集団「LockBit」による犯行だ。ロシアの団体はウクライナ侵攻後に銀行などが制裁対象になっているものの、ロックビットなどサイバー攻撃の集団は2023年4月18日時点で含まれていない。攻撃者によって法令上の対応が分かれた格好だ。
