KADOKAWAさんがハッカーに4億7千万円の身代金を払ってしまった件

皆様どうもこんにちは。雑食系エンジニアの勝又です。

ここ最近のIT業界はKADOKAWAさんへのサイバー攻撃の話題で持ち切りでしたが、6/22のNewsPicksさんの記事で驚きの新情報が明らかになりました。

【極秘文書】ハッカーが要求する「身代金」の全容

詳細は記事の方をご参照いただければと思いますが、「ランサムウェアによる暗号化を解除するためにドワンゴCOOの栗田穣崇さんが取締役会の承認を経ずに4億7千万円相当のビットコインをハッカー側に送金してしまった」というのが最大の注目点ではないでしょうか。私もこれにはとても驚きました。

さらに現在は「身代金をハッカー側に送金したことで味を占められて今度は13億円の追加の身代金を要求されている」という蟻地獄のような状況になっているようです。

この記事の内容がどの程度真実なのかは分かりませんが、記事を批判しているKADOKAWA首脳陣の方たちもこの記事の真実性に関しては現時点で全く触れていません。

NewsPicksさん的にも相当リスクのある記事ですから入念な裏取りをした上で公開したものと思われるので、そういった辺りを考慮すると大部分が事実であると考えて差し支え無さそうです。

意思決定の質と結果の良し悪し

物事は「結果」だけではなくその結果に至るまでの「意思決定」のプロセスが非常に重要です。

最良の意思決定をしても最悪の結果になる可能性はありますし、最悪の意思決定をしても最良の結果になる可能性もあります。

そのため「意思決定の質」と「結果の良し悪し」は分けて考える必要があるわけですが、今回の身代金の件に関してKADOKAWA経営陣の方たちは「最悪の意思決定をして最悪の結果を発生させてしまった」ということになるのではないかと思います

ランサムウェアによる脅迫に対して身代金を支払ったことでデータが復旧するケースは過去のデータによるとおおよそ半分程度であり、しかも結果をコントロールできるのは攻撃者側だけです。

つまりランサムウェアに対する身代金の支払いは完全に運次第の丁半博打のようなものであり、そういう意味ではFXと全く変わりがありません。

そう考えると今回のKADOKAWAやドワンゴ上層部の決定は「FXと同様な丁半博打で4億7千万という巨額のお金を1日で溶かした」のと同じようなものですから、意思決定の質的にも結果の内容的にも非常に問題があるということになります。

セキュリティ対策に関して「完璧」は存在しないのでハッキング被害自体に関しては不可抗力という面もありますが、何の結果にも繋がらなかった身代金の支払いを取締役会を経ずに決定して会社に4億7千万円の巨額の損失を発生させたのはKADOKAWA首脳陣なので、この責任は厳しく問われることになるでしょう。

そもそもこのお金をもっと早い段階でセキュリティ強化への投資に使っていれば今回の攻撃を未然に防げたかもしれないわけですから、経営陣がお金の使い道を完全に間違えたと言い切ってよいのではないかと思います。

4億7千万円をKADOKAWAさんやドワンゴさんの優秀なエンジニアの方たちの工数に投下してセキュリティ面の技術負債の返済に使えば相当色々なことができたはずですし、現場の皆さんたちは以前からずっとそういうセキュリティ面の懸念を上層部に伝えていたはずです。

体の健康に関してもよく言われることですが、予防にもっと早くから時間とお金をかけるべきだったのにそれをせず、問題を長期間放置したことで致命的な事態を招いてしまったということですね。

コーポレイトガバナンスとコンプライアンス

そしてお金の使い道以上にもっと問題なのが「取締役会の承認を経ていなかった」という点ではないでしょうか。

もちろん4億7千万円というお金はドワンゴあるいは栗田さんだけで決済判断が可能な金額の範囲内だったのだとは思います。しかし何かの事業への投資とかではなく「悪質な犯罪集団への利益供与」を取締役会の承認を経ずに実行したということは「取締役会が機能していない」ということなので、ガバナンスが崩壊していると言われても仕方がないでしょう。

KADOKAWAは例の五輪汚職事件で元会長や専務が逮捕あるいは起訴されたことを契機にコーポレイトガバナンスを強化したはずでしたが、今回の一件で実際にはそれが意味を成していないことが明らかになってしまいました。

ハッキングによる被害だけであれば「気の毒に…」「ひとごとじゃないよなあ…」で済んだと思いますが、「ガバナンス不全」ということになると風向きが違ってきます。

今回の一件を見る限り、少なくともKADOKAWA上層部の方たちのコンプライアンス遵守の意識は低く、経営陣が交代しないとその状況は変わらないと株式市場や取引先や金融機関が判断する可能性は高いように思います。

栗田さんの独断なのか夏野さんも知っていたのか

極秘メールの内容がリークされているということは「栗田さんは複数の経営幹部とCCやBCC等で情報を共有＆相談しながらやりとりをしていた」と考えるのが自然でしょう。

その相談相手の中に最高意思決定者である夏野さんが含まれていなかったとは考えにくいので、少なくとも「取締役会を通さずにハッカー集団に4億7千万円を送金する」という判断に夏野さんは同意していた可能性が高いと思います。

恐らく経営幹部さんの中には身代金を支払うことに反対の方たちが複数いて、栗田さんや夏野さんの「暴走」による会社のお金の丁半博打による消失を防ぐために、NewsPicksさんへのリークという手段をご選択されたのではないかなというのが私の見立てです。

攻撃者を利する報道なのか？

今回のNewsPicksさんの記事に対して「攻撃者側を利する内容であり不適切だ」という意見もかなり多いようです。

こういった記事により犯人や攻撃者側が新しく情報を得て有利になってしまう可能性があるというのはその通りですが、それは全ての犯罪報道に言えることなので「メリットとデメリットを考慮してケースバイケースで判断すべきである」というのが私の見解です。

例えば特殊詐欺の手口を解説する報道によって彼らのやり方が周知されることにより、その手口によって騙される人が減る可能性は高いのでこの点はメリットと言えます。

しかしその報道によって情報を得た犯罪者側は「この手口は知られてしまったので別のやり方を考えよう」という風に新たな手口を考案します。つまりその報道は犯人側に手口をより洗練させるための情報を与えてしまうというデメリットもあるわけです。

あるいは、そういった報道により「こういったやり方で人を騙せて金を儲けられるのか。自分もやってみよう」という模倣犯が出てくる可能性もあります。

つまり犯罪に関する報道には大抵の場合メリットとデメリットが両方あるわけなので、NewsPicksさんの記事に関してもそういった視点で評価する必要があると思います。

もちろん「その記事によって誰かの命が失われる可能性が高い」というような、取り返しのつかないデメリットが発生する場合は報道を控える以外の選択肢はないと思います。

しかしKADOKAWAさんは病院その他の人命に関わる事業をやっているわけではありません。しかも情報のリーク元はKADOKAWAさん社内の人なのでハッカー側の情報コントロールに加担しているわけでもありません。そして少なくとも今回の記事に関しては新たなセキュリティホールの発見に繋がるような情報も記載されていません。

デメリットがあるとすると「なるほどランサムウェアによる脅迫はこういう手順でやるのか」という情報を模倣犯予備軍に提供してしまう点かなと思いますが、前述のようにこれはどういう犯罪報道も同様なので仕方ないことかなと思います。

そういった点を考慮すると、今回の記事に関しては「攻撃者を大きく利するような点は見当たらない」のに対して、KADOKAWAさん社内のガバナンス不全や上層部のコンプライアンス遵守意識の低さを周知することによる「投資家利益」や「他の企業のセキュリティやガバナンス意識の向上」や「犯罪組織へのこれ以上の資金流入の防止」に繋がるというメリットがあると思います。

そういったメリット・デメリットを総合的に判断すると、ハッカー側による攻撃の最中であったとしても(むしろその最中だからこそ)この記事を公開することは十分に社会的意義があるのではないかなというのが私の見解になります。

栗田さんがハッカーと共謀している可能性は？

さすがにそれは無いと思いますが、そういう可能性がゼロではないからこそ大金の決済に取締役会を通す意味があるわけですよね。

別に対象が犯罪組織ではなくても、大きな決裁権を持つとカルロス・ゴーンのようなことをしてしまう人が出てくるのでそれを防止するためにガバナンスの仕組みがあり取締役会が存在するわけです。

その承認フローをスキップして4億7千万円という大金を送金してしかも何の成果もなく失ってしまった以上、栗田さんが何らかの形で責任を取らされることになるのは恐らく時間の問題だと思います。

さらにその意思決定に夏野さんが関与していた場合、夏野さんも同様な結末を迎えることになる可能性もかなり高いのかなと思います。

つまり夏野さん達がNewsPicksさんの記事に対して怒っているのは「攻撃者側を利するから」ではなく「(自分たちの立場が危うくなるので)隠しておきたかった身代金の支払いとガバナンス不全が公開されてしまったから」というのが実際のところなのではないでしょうか。

ちなみにKADOKAWA上層部は6/14のYouTube動画においては「個人情報の漏洩は確認できていない」と発表していましたが、NewsPicksの記事が事実であれば既に6/8の時点で個人情報が流出している可能性を認識していたものと思われます。

つまり6/14の発表に意図的に虚偽を含めて「ハッカーとの交渉がうまくいった場合は実際には発生していた個人情報の漏洩を隠し通すつもりだったのでは」という疑惑が発生することになります。これもまた今後の非常に重要な注目点になりそうです。

セキュリティに完璧はない

思うままに色々と書いてみましたが、セキュリティに完璧はありません。

セキュリティと開発効率は常にトレードオフの関係にあり、サービスが市場での競争に勝つためには開発効率や生産性を優先してどうしてもある程度はセキュリティを犠牲にする必要が出てきます。

いわゆる「スイスチーズモデル」で様々な施策を丁寧に重ねていっても必ずどこかに穴は発生します。

極端な例ですが、例えば悪意のある優秀なハッカーが「この会社を狙う」と本気で決めたとして、その会社のセキュリティレベルが非常に高くて外部からの侵入が難しいならば、その会社に正社員として採用されて潜り込むという手段もあるわけです。

ワンピースのCP9のように、その会社で数年かけて信頼を得て高いポジションに上り詰めて強い権限を獲得して、形跡を残さずに内部の重要データを極秘に入手したり暗号化したりして自分に一切疑いがかからないようにして自らが所属する企業を脅迫して大金を得てタイミングを見て退職、みたいなことは優秀なエンジニアがその気になったら全然可能でしょう。

もしかしたら皆さんの会社にもそういうエンジニアが既に紛れ込んでいてタイミングをうかがっているかもしれません。つまりどんなに工夫したとしてもやられる時はやられます。それがセキュリティの大前提です。

なのでKADOKAWAさんのサイバー攻撃被害に関して「レベルが低いなあ」みたいに思うような傲慢な気持ちは私には一切ありません。特に現場のエンジニアの方たちに対しては頑張ってほしいなと心から思うわけですが、犯罪者集団に身代金を支払ってしまった上層部の方たちにはあまり同情する余地がないわけです。

最初に申し上げた通り4億7千万円というお金を最初からセキュリティ投資に振り向けておけばこのサイバー攻撃自体を防げた可能性は十分にあります。

それをやらずに単なる運ゲーの丁半博打で1日で大金を溶かしてしまうような上層部の方には早めに退場してもらって、セキュリティや技術負債の返済に普段からしっかり投資するような体制に変革される方が、KADOKAWAの株主さん的にも社員さん的にも世の中的にもハッピーなのではないでしょうか😊