大事なデータが誘拐された時の身代金の交渉技術
最近、気になる記事を見かけた。
ランサムウェアに感染したアメリカの大学が、犯人との身代金について話し合うための交渉人を雇い、犯人側とやりとりした一部始終がまとめられている。
一般的に知られている「身代金」とは、人質の身体または生命に対して脅威を与えることが可能な犯人側と、人質の解放と引き換えに支払われる金銭のことだ。
今回取り上げる事件は、人質ではなくコンピューターやシステムのデータに対する身代金なのだが、どういうことかというと、相手が保持しているデータを暗号化し、そのままでは使い物にならないようにしてしまい、暗号化を解除して欲しければ身代金を払えという手口だ。
この手の事件はサイバーセキュリティ分野では頻繁に見聞きする話ではあるが、今回珍しいのは、犯人側とのやりとりの一部始終がまとめられていること。その記事を参照し内容を時系列に整理しながら、まとめてみたい。
起きた事件を時系列に整理してみる
■6月1日
・カリフォルニア大学サンフランシスコ校(UCSF)の疫学、生物統計学部門で使用されているサーバーがランサムウェアの攻撃を受けデータにアクセスできなくなった
※犯人は7台のサーバーを使ってデータを暗号化し、少なくとも20GBものデータを盗み出していた。
犯人側の要求
UCSFに対し、データを復旧するための解除キーを提供する代わりに300万ドル(3億2000万円)の身代金を要求した。
※指定した期日までに身代金が支払われない場合は、身代金要求額が2倍になる
UCSF側の対応
身代金をそのまま支払うことも、支払いを断固拒否して交渉を打ち切ることもせず、民間の「交渉担当者」を雇って交渉に当たることにした。
■6月5日
・UCSFの交渉担当者は、犯人が用意したチャットルームに入り、犯人とのの身代金交渉を開始。
※犯人が提示した身代金の支払期限までこの時点で残り2日と23時間となる。
・残り時間が2日と22時間31分になった時点で(つまり交渉を開始してからすぐに)、UCSFの交渉担当者は、全ての決定を行う大学委員会を招集する必要があると訴え、身代金の支払期限を2日間延長することを要求。
・犯人はこの要求をのみ、身代金の支払期限を延長した。
■その後
・交渉担当者は、大学委員会の決定が下ったとして、最大で78万ドル(約8200万円)の身代金を支払うことができるが、その半分の39万ドル(約4100万円)が現実的なラインだと犯人に提案し、犯人はこれを拒否。
■提案の翌日
・交渉担当者は前日と同額である78万ドルの身代金を再度提案し、犯人は再度拒否。
■6月9日
・UCSFの交渉担当者は、100万ドル強(約1億1000万円)の身代金を提示し、犯人は150万ドル(約1億6000万円)を要求。
・UCSFの交渉担当者は、学校関係者が更に12万ドル(約1300万円)の支援を申し出ていることを提示。
・犯人はこの提案を受け入れ、総額114万ドル(約1億2000万円)の身代金で交渉が成立。
■その後
・UCSFがビットコインで身代金を支払い、犯人は解除キーを送った上で盗み出して手元に置いた全てのデータを送り返し、コピーは削除したことを示した。
■6月14日
・全ての取引が終了。
起きたことを想像しながら振り返ってみる
以上が事件の顛末だが、こう言った事件の詳細を知れることは珍しい。せっかくなので、この時の交渉技術がどういったものだったのか想像しながら考えてみたい。
まずは先にまとめだ。その後、各々の詳細に入る。
1. 被害者側は、交渉のテーブルにつく意思を示し続ける必要がある
2. 対面や音声による交渉ではなく、テキスト(チャット)で交渉するということを意識しなければならない
3. 被害を受けた対象が生命(金額換算が難しい)ではなく、データであることから、犯人との価格交渉の余地がある。
1. 被害者側は、交渉のテーブルにつく意思を示し続ける必要がある
ランサムウェアの被害が発生した場合、被害者側は身代金対応を必ずしなければならないのかというと、そういうわけでもない。被害を受けた範囲にもよるので一概には言えないが、暗号化されたデータを元に戻せなくても、そのデータを復旧できる術を持っていれば、犯人の要求に応える必要はない。
例えば、対象のデータのバックアップを保持している場合は、自分たちでリカバリ・リストア(データを復旧する作業)をすることで被害を解決できる場合がある。
その為、犯人側としては、「相手はこの取引に乗ってきてくれるのか」を知りたいわけで、被害者側が交渉のテーブルにつくかどうかを決めるのだ。
実際、今回の事件でも、まず交渉担当者は、ランサムウェアが攻撃した部門が新型コロナウイルス感染症(COVID-19)の治療法やワクチン開発を支援していたと述べ、研究者らはデータを適切にバックアップする時間も作れなかったことをほのめかしたという。
2. 対面や音声による交渉ではなく、テキスト(チャット)で交渉するということを意識しなければならない
これが今回の事件の最大の特徴かもしれないが、犯人と交渉人は、直接対面や電話によるやりとりを一切せず、全てチャットで交渉を進めた。
ランサムウェア攻撃を受けた企業や機関が専門の交渉担当者を雇い、データの安全を保証させつつ、少しでも身代金を減額するように譲歩を求める交渉はあるらしく、そう言った場合は今回のようにチャットになるのだろう。
しかし、こう言った方法で交渉する場合のデメリットについて理解する必要がある。ハーバードビジネスレビューでは、「バーチャルな交渉では、客観的な成果は乏しくなり、交渉相手に温かみや信頼感を感じにくい傾向がある。」「人は実際よりも、自分のメッセージが相手に正しく理解されたと思い込む傾向がある」と言っている。
今回の事件でいえば、チャットであることをむしろ活用して交渉を進めていたように見える。
例えば犯人は、会話を楽しんでおり、ゲームの一部だったような振る舞いがあったようだ。
また、交渉人も、交渉全体を通して犯人に対して丁寧に接し、時には賛辞を送ることもあったという。実際にこの対応は効果的だったようで、犯人は交渉担当者に対し、自分たちに敬意を示すクライアントを軽視しない、とまで答えた。
これが対面や音声での交渉である場合、様々な情報(ボディランゲージ・声の状態など)により、その敬意が本当か嘘かの判断をさせてしまうリスクが生じる。しかしテキストだけの情報では判別がつかない。判別がつかないから、それを前提にして、お互いに「ゲーム性」をもったやりとりを許容しているように見える。
3. 被害を受けた対象が生命(金額換算が難しい)ではなく、データであることから、犯人との価格交渉の余地がある。
これはそのままの意味だが、誘拐事件による身代金については交渉の余地はほぼ無いと思われる。交渉の優位性が圧倒的に犯人側にあるからだ。
しかし今回の事件では、先に記載した通り交渉テーブルにつくかは、被害者側が意思決定権を持っており、またそのデータの価値換算によっては、犯人が提示した金額が「割高だ」と判断した場合は、交渉優位性を持つ場合がある。
しかし、そもそも被害者側で正確にデータの価値換算ができない場合も想像でき、そうなった場合は被害者側の交渉の優位性は下がるだろう。
また、重要インフラ(電気ガス水道などの社会基盤)や病院がランサムウェアの被害を受けた場合は、交渉する期間がそのまま、被害を拡大させることになることが容易に想像できる為、同じく犯人側の交渉の優位性が高くなる。
ランサムウェアの身代金交渉は、一方は満額、もう一方は減額が目的である為ゼロサムゲームになる。一般的な物品売買におけるゼロサムゲームは、売り手も買い手も「Yes」「No」を選択する権利がある。
それは、売り手も買い手も「他をあたる」ことができるからだ。
しかし、ランサムウェアの場合は、「他をあたる」ことはできない。
正確には、売り手(犯人)は、データ暗号化だけではなくデータを盗み出している場合は、そのデータの価値が分かる他者へ売ることもできるだろうが、その対応に手間がかかることが想定されるし、それが得ならば、そもそも身代金交渉をせず初めからそうするだろう。
Image by Grae Dickason from Pixabay
この記事が気に入ったらサポートをしてみませんか?