開発者にとって便利なシステムを作っていたことの弊害
――KADOKAWAの子会社・ドワンゴが運営する「ニコニコ動画」は2006年開始で、ウェブサービスとしては比較的老舗です。システムの古さが原因だったのでしょうか。
上原 ニコニコのシステムが脆弱だったかどうかについては、まだわかっていません。一般論として、古いシステムはサイバー攻撃を受けやすい傾向はありますが、ドワンゴは開発者を多数抱えたテクノロジー企業でもある。セキュリティの問題があれば素早く対応したでしょう。
ドワンゴは開発者を大事にする企業のようですので、これが諸刃の剣になった可能性はあるでしょう。特にコロナ禍では在宅勤務が必要だったこともあり、システムの外部からアクセス可能にしていたように見受けられます。
今回の被害を見る限り、顧客にサービスを提供するための開発システムと(財務や経理などの社内業務を扱う)基幹システムの双方を提供する社内クラウド基盤への侵入を許したようです。だからこそ、サービスから社内のシステムに至るまでサイバー攻撃を受けてしまった。これも開発者にとって便利なシステムを作っていたことの弊害ではないでしょうか。
一般論として、身代金は払うべきではありません
―― 6月22日、経済メディア「NewsPicks」で、KADOKAWAが身代金要求に応じ、約4億7000万円相当のビットコインを送金していたと報じられました。これについてはどう見ていますか。
上原 本当に払ってしまったのかどうか、まだ確定していませんので、確かめる必要があるとは思います。ただ一般論として、身代金は払うべきではありません。まず身代金を払ってもデータが返ってくるかどうかの確証がない。そして返ってくるとしても引き換えに失うものがあまりにも大きい。
さらに、犯罪者に資金的な援助をすることへの法的・道義的な問題もあります。犯罪収益移転防止法や外為法(外国為替及び外国貿易法)違反の恐れもある。悪い人にお金を払うのが当たり前になったら攻撃者はどんどん増えてしまいます。そもそも報道で示されているビットコインの送り先は、アメリカのFRB(連邦準備制度理事会)が制裁対象に指定しているもののようです。その意味でも違法になる可能性が高い。
―― 今回の一件で「ランサムウェア攻撃」という言葉がにわかに注目を集めましたが、最近のサイバー攻撃にはどんなトレンドがあるのでしょうか。
上原 独立行政法人「情報処理推進機構(IPA)」が毎年発表している「サイバーセキュリティ10大脅威」でも、ここ10年ほどはずっとランサムウェア攻撃がランクインしています。やはり攻撃者がお金を儲けることができるので、悪い人がランサムウェアに集まっているんですね。
