FBIが猛反対でも…… サイバー攻撃者に「身代金」を支払わざるを得ない残酷な現実：CISOの過半数が支払いを検討

学習管理システム「Canvas」がサイバー攻撃を受け、膨大な個人情報が流出した。被害企業はデータの回収と引き換えに攻撃者との取引に踏み切ったが、この決断を巡って議論が再燃している。犯罪者への支払いの是非は。

[Alissa Irei，TechTarget]

　教育ソフトウェアベンダーのInstructureは、同社の学習管理システム（LMS）「Canvas」が大規模なランサムウェア（身代金要求型マルウェア）攻撃を受けたことを受け、盗まれたデータを回収するために攻撃者と取引が成立したと発表した。同社は取引の具体的な条件を明らかにしていないが、専門家は巨額の身代金が支払われた可能性が高いと指摘している。

　この決断が、事態を収拾するためにサイバー攻撃者に金銭を支払うべきかどうかという議論を再び燃え上がらせている。FBI（米国連邦捜査局）は攻撃者への支払いを強く制止している。一方で、セキュリティベンダーAbsolute Securityが2025年11月に実施した750人のCISO（最高情報セキュリティ責任者）に対する調査によると、回答者の半数を超える58％が支払いに前向きだという。

　法や倫理を無視してでも、なぜ被害者は身代金を支払わざるを得ないのか。そこには、支払った組織の8割以上が再び被害に遭うという「身代金ビジネスの闇」と、米国企業が直面する巨額の法的ペナルティーという二重のリスクが潜んでいる。あらゆる企業が直面する可能性がある、「身代金を支払うべきかどうか」という究極の選択の裏側に迫る。

データと顧客を守るための身代金支払い

併せて読みたいお薦め記事

身代金支払いに関する議論

• ランサムウェア攻撃を受けても「身代金を支払わなくなった」のはなぜか
• ランサムウェア攻撃への「身代金支払い禁止令」は逆効果？

　Instructureの報告によると、攻撃者は2026年4月29日と同年5月7日（いずれも米国山岳部夏時間）の2回にわたって同社のシステムに侵入した。これによってCanvasでシステム障害が発生した。Canvasは、課題や教材の管理、メッセージ送信、成績確認などのために、世界中の教育機関で導入されているLMSだ。

　今回の攻撃は広範囲にわたる混乱をもたらし、Canvasユーザーの個人特定情報（PII）を流出させた。流出したデータには、氏名、メールアドレス、学籍番号の他、就学者と教員の間で交わされた非公開のメッセージが含まれる。

　この攻撃に際してサイバー犯罪グループ「ShinyHunters」が犯行声明を出し、Instructureから3.65TBに及ぶ大量のデータを盗み出したと主張した。その中には、9000件近くの教育機関に所属する、約2億7500万人分のユーザー情報が含まれているという。

　2026年5月11日（米国山岳部夏時間）、Instructureは公式声明を発表し、攻撃者との間で合意に達したことを報告した。同時に、発表時点ではCanvasが正常に稼働しており、安全に利用できる状態にあると説明した。

支払うべきか、支払わざるべきか――それが問題だ

　合意の内容として、攻撃者はInstructureにデータを返却し、複製したデータを破棄した上で、導入校に対してこれ以上の脅迫をしないと約束したとみられる。しかし、米国のシンクタンクInstitute for Security and Technology（IST）で危機管理部門のシニアディレクターを務めるマイケル・クライン氏は、「攻撃者との取引には何の保証もない」と警鐘を鳴らす。

　クライン氏は次のように語る。「サイバー攻撃者が約束を守るとは信頼できない。彼らが約束を破り、最終的にはその下流にいる全てのエンドユーザーを個別に脅迫し始める可能性は十分にある」

　過去の調査からも、サイバー攻撃者に倫理観を期待できない現実が明らかになっている。セキュリティベンダーCrowdStrikeが2025年6〜7月に実施した調査では、1100人のITおよびサイバーセキュリティの意思決定者から回答を得た。それによると、攻撃者に身代金を支払った組織のうち93％が結果的にデータを盗まれたままであり、83％が再び攻撃を受けていた。

　データの無事な回収が極めて困難な賭けであると知りながらも、組織はビジネス上のリスクを勘案し、身代金の支払いに踏み切ることがある。例としては盗まれたデータがなければ事業を継続できない場合や、業務停止に伴う損失や信用失墜への対処にかかる費用が、身代金そのものを上回ると見込まれるケースだ。病院をはじめとする重要インフラへの攻撃であれば、人命が危機にひんする事態さえ想定される。

　FBIをはじめとする法執行機関は、ランサムウェア攻撃者への支払いに応じないよう強く求めている。支払いがサイバー犯罪を助長するだけではなく、攻撃者がさらなる要求を突き付けてくる「二重脅迫」や「三重脅迫」を招くリスクが高まるためだ。

　米国では身代金の支払いは原則として違法ではないが、安全保障上の制裁対象となっている特定の国家や関連組織への送金は、いかなる理由があっても法律で禁じられている。米国財務省は2021年、これら制裁対象の国や組織、個人を利する身代金支払いは、巨額のペナルティー（民事罰）の対象になる可能性があると警告した。

さらなる恐喝の恐れにFBIが警戒を呼び掛け

　Instructureへの攻撃についてFBIは2026年5月15日（米国東部夏時間）に声明を出した。教育機関や一般ユーザーに対して、今回の事件に関連した新たな恐喝行為に巻き込まれないように、警戒を続けることを促した。

　FBIは声明の中で、「ShinyHuntersの攻撃者は不正入手した機密データを悪用し、実際の状況に即した巧妙な標的型フィッシング詐欺でエンドユーザーを欺く可能性がある」と指摘した。同グループは標的に支払いを迫るため、執拗（しつよう）な嫌がらせをエスカレートさせる手法を取るという。

　具体的な手口には、脅迫メールやショートメッセージ（SMS）、電話に加え、虚偽の重大通報で標的の自宅に警察の特殊部隊を突入させる「スワッティング」という悪質な嫌がらせまで多岐にわたる。「あなたの弱みになる写真や動画を握っている」と主張して標的を精神的に追い詰めることもあるが、その内容のほとんどはうそに過ぎない。

　FBIはCanvasを利用する教育機関や個人ユーザーに対し、不審なメッセージを受け取った場合は、専用のオンライン窓口であるFBIインターネット犯罪苦情センター（IC3）または最寄りのFBI地方事務所へ通報するよう呼び掛けている。