サイバー攻撃により情報を窃取したハッカーから金員の支払いを要求された場合の米国法上の留意点

サイバー攻撃に伴う身代金の要求

　サイバー攻撃により企業から情報を窃取したハッカーが金員の支払いを要求する事例が増えています。
　代表例としてランサムウェアがあります。ランサムウェアというマルウェアに感染すると、端末内のデータが暗号化されて利用できなくなり、復号（復旧）の対価として身代金（ランサム）が要求されます。
　昨今では、データの暗号化に加えて、データを窃取したうえで、身代金の要求がなされます。
　データの復旧および窃取したデータを公開しないことと引き換えに身代金が要求される点で「二重の脅迫」とも呼ばれています ¹。

米国の状況

　こうした身代金を要求された場合の対応について、国内では事例の集積が少ないので、参考として米国の状況を紹介します。

FBIの考え

　FBIが公表している「2019 Internet Crime Report」によると、「FBIとしては、身代金の支払いを支持しないものの、ビジネスが機能障害に陥った場合に、経営陣が利害関係人、従業員、消費者を守るためにあらゆる選択肢を評価することについて理解するところである。」という考えを示しています。
　この考えを踏まえると、身代金の支払いがただちに違法の評価を受けるものではないことがわかります。

財務省外国資産管理室による2020年10月1日付勧告

　2020年10月1日、財務省外国資産管理室（The U.S. Department of the Treasury’s Office of Foreign Assets Control。以下「OFAC」といいます）は、「ランサムウェアの支払いを助長することに関する潜在的制裁リスクについての勧告」（Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments）を公表しました ²。
　OFACは、外国資産管理法（Foreign Assets Control Regulation）に基づいて情報の提供、処罰の設定、違反者への制裁等を所管する組織で、同法に基づいて制定される各種規制がOFAC規制と言われます。
　OFACは、サイバー関連制裁プログラム（cyber-related sanctions program）を設け、同プログラムの下で、悪意ある　サイバー行為者を指定し、その中には、ランサムウェアを用いた攻撃者やランサムウェア関連の取引を助長した者が含まれます。
　そして、この指定された者と取引を行うことが禁じられています。
　OFACは、同勧告において、「被害企業に代わってランサムウェアの支払いを助長する金融機関、保険会社、デジタルフォレンジック企業及び危機対応企業といった企業は、将来のランサムウェアの支払い要求を促進させるだけでなく、OFAC規制に違反するリスクがある」ことを示しました。

刑事訴追事案

　米国司法省連邦地検（Department of Justice U.S. Attorney’s Office）は、2020年8月20日、自動車配車サービスを提供するウーバー社の元Chief Security Officer（以下元「CSO」といいます）を司法妨害の罪で訴追したことを公表しました ³。
　公表文によると、2016年、5700万人分の個人情報を不正アクセスにより窃取したハッカーから連絡を受けた元CSOは、情報漏えいの事実を公にしないことの対価として同年12月に100,000ドルをビットコインで支払い、かつ、FTC（Federal Trade Commission。連邦取引委員会）に伝わるのを意図的に妨げた等の行為を理由に、司法妨害の罪（Obstruction of Justice.18 U.S.C.§1505）および重罪隠匿の罪（misprision of a felony.　18 U.S.C. § 4）で訴追されています。
　ランサムウェアの事案ではないものの、情報を窃取したハッカーからの金員の要求に対して、交渉および金員の支払いを秘密裏に行ったことをもってCSOが刑事訴追された初めての事案です。

まとめ

　以上のとおり、現状では、ハッカーからの要求に応じて金員を支払うことを直接禁じる法律はないものの、支払先や交渉方法によっては、既存の規制の枠内で違法の評価を受けるリスクがあることに留意が必要です。