第668号コラム:「ランサムウェアへの支払いに対する保険の判例」
第668号コラム:櫻庭 信之 理事(シティユーワ法律事務所 パートナー弁護士)
題:「ランサムウェアへの支払いに対する保険の判例」
本コラムでは、アメリカの一部の法律関係者の間で今話題になっている判例をご紹介いたします。ランサムウェア被害をうけて身代金を支払ったアメリカ企業が保険会社に保険給付を求めた民事訴訟です。この裁判では、下級審は、保険会社が補償を拒んだことを正当と認めましたが、今年(2021年)3月18日、インディアナ州最高裁判所は、原判決を破棄し差し戻しました。
G&Gオイル(「G&G」)では、ある日、会社のサーバとほとんどのワークステーションにアクセスすることができなくなった。1つのスクリーンには、「復号には××へ連絡してください。パスワードを入力ください。」と促す表示があり、操作の不能がランサムウェアの暗号化によるものとわかった。G&Gは、FBIや他の専門家への相談後、攻撃者とコンタクトをとり、解放交渉を始めた。攻撃者は身代金をビットコインで要求し、支払いと引き換えにパスワードを送信することに同意した。G&Gは要求額を支払ったが、攻撃者は復号を拒絶し、追加の支払いを求めてきた。最終的にG&Gが身代金3万5000ドル近くをビットコインで支払うと、攻撃者はパスワードを知らせてきて、ようやくコンピュータは回復した。
G&Gは、自社が契約している保険会社にランサムウェア攻撃の補償を求めた。ところが、保険会社は保険金の支払いを拒否した。オプションの特約を付けていなかったことが補償を断った理由の1つであるが、G&Gの損失は、欺罔によってG&Gの資金移転をさせるコンピュータ使用から直接生じたものではない、との判断もあった。
G&Gは、損失の補償を求めてマリオン地区一審裁判所に提訴したが、一審は訴えを退け、保険会社勝訴のサマリー・ジャッジメントを言い渡した。サマリー・ジャッジメントとは、重要な事実に関して真の争点がなく、法律問題だけで判決の言い渡しができる場合に、トライアル(原告と被告の双方が裁判所の面前で正式に行う事実審理)を経ることなく裁判所が下す判決である。控訴されたが、二審も、一審が下した保険会社勝訴のサマリー・ジャッジメントを支持した。
G&Gが契約した保険の約定は、補償対象となる損害を次のように定めていた。「敷地内または銀行の敷地内から、敷地外の(メッセンジャー以外の)人、あるいは、敷地以外の場所に、fraudulentlyに(注:この定義が争点のため英語表記のままにします。)移転を引き起こすコンピュータの使用から直接生じた、現金、証券、その他の財産に対する損害を補償する。」
この規定から、裁判では、fraudulentlyに財産を移転させたか、損害はコンピュータの使用から直接生じたか、の2点が争点となった。
(1)財産をfraudulentlyに移転させたといえるか、の争点
下級審は、fraudulentlyな移転ではないから保険の対象外である、とした。その理由はこうである。攻撃者は、コンピュータを使って、詐欺的にG&Gにビットコインを購入させ身代金として支払わせたわけではない。G&Gにビットコインを購入させるために、真実を曲げたり、欺いたりはしていない。攻撃者の行動は違法ではあるが、アクセスの回復と引き換えに身代金を要求するのに詐欺はしていない。
これに対し、州最高裁は、下級審のfraudulentlyの解釈では狭すぎる、と指摘した。そのうえで、過去の判例と辞書の解説を根拠に、fraudulentlyに財産等の移転を引き起こす、とは、単に、策略を用いて(by trick)取得することである、という。G&Gの保険会社に宛てたレターには、標的型スピアフィッシングメールを介してシステムをハッキングし、そのリンクがペイロードをシステムにダウンロードし、ネットワーク全体に拡散したとの見解が書かれていた。
ただ、州最高裁は同時に、このケースが直ちにby trickになるとも断定できない、とも判示した。たとえば、セーフガード(セキュリティ対策)が講じられていなければ、攻撃者は企業のサーバに何の妨げもなく侵入して質にとる可能性があり、その場合はトリックがないからだ、と述べる。
(2)G&Gが復号の鍵を得るために攻撃者に身代金を支払ったことによる損害は、「コンピュータの使用から直接生じた」といえるか、の争点
次に、上記の「直接」の定義が検討された。州最高裁は、権威ある辞書の解説や過去の判例を根拠に、本件で保険給付を得るには、G&Gは、コンピュータの使用から大きく逸脱することなく、直ちに、または近接して損失を被ったことを証明しなければならない、との規範を立てた。そのうえで、事実関係を分析する。
G&Gの身代金の支払いはたしかに自発的であった。しかし、FBIとコンピュータ専門家と相談してはじめて支払ったもので、操業は停止され、ファイルにアクセスできないと事業収益上一層大きな損失が生じることが合理的に推測された。意識的に支払ったという意味では自発的なだけで、強迫された支払いによく似ている。この状況下では、「自発的に」する支払いは、因果関係のチェーンを断ち切るほどリモートではない。したがって、G&Gの損失は、コンピュータの使用から直接生じたものである、と結論づけた。
以上から州最高裁は全員一致で、サマリー・ジャッジメントを下せるケースではないとして原判決を破棄し、裁判を下級審に差し戻してさらに審理を命じた。
この裁判は、約款の曖昧さや二義的な解釈の余地が争われるなど(二審判決)、文言解釈に終始しているが、条項の技術的な定め方よりも深刻な問題がある。
身代金を支払わざるを得ないケースは現実にはある。ただ、そうではないケースでありながら、補償が用意されることで身代金を支払いやすくなるモラルハザードの醸成、さらには、被害者が身代金を払わないよりも払った方が保険給付も少なくて済むという支出バランスの問題。まるで支払うことに経済性があるかのような循環ができると、ランサムウェアの販促となる。報道されるビッグ・ビジネスとは別に、ワンコイン、ツーコインでランサムウェアを簡単に買えるコモディティ化とロングテール・ビジネスの存在が、興味本位で手を出した素人のプロ育成や、下地の拡大につながることを危惧させる。
【著作権は、櫻庭氏に属します】