(注意:本稿の全文は 10,237 文字あります)
RSAC 2025 で『Multi-District Litigation: Navigating the 2020 Ransomware Experience(多地区訴訟攻略:2020年ランサムウェア攻撃の実体験から)』と題されたセッションが行われた。
2020 年に発生したクラウドサービス企業へのランサムウェア攻撃と、その後 5 年間にも及んだ法廷闘争の実体験を当事者が共有したもので、インシデント対応から訴訟戦略、規制対応、保険管理に至る包括的な教訓が語られた。
実はこの講演、取材から堂々まるまる一年以上も経過してしまったのだが、当時の取材メモを見れば見るほど、このまま日の目を見せずに終わらせるのはあまりにも惜しいということで、記事執筆に至った次第である。見たくない見たくないと思いつつちゃんと調べたところ、この講演を RSAC で取材したのは 2025 年 4 月 11 日 (金) のことだから、取材からまるまる一年どころか 1 年と 2 ヶ月経過している。いずれにしても ITmedia などの高級誌でこんな遅筆をかましたらタダではすまないことは間違いない。
● 2020 年 5 月、とある土曜日
非営利団体向けクラウドコンピューティングプロバイダーの世界最大手とされる Blackbaud 社のサーバー上で異常な挙動が検知されたのは、2020 年 5 月のある土曜日のことだった。調査を進めると、ランサムウェア攻撃であることが判明した。
すぐに緊急対応を行いデータの暗号化は阻止することができた。しかし個人情報の一部がすでに漏えいしていた。
侵入起点は顧客の保有するクレデンシャルの侵害だった。攻撃者はそこから環境内を横展開してデータを窃取した。Blackbaud 社のビジネスモデルは SaaS 型であり、同社の顧客は非営利団体だ。本件に関係する顧客組織の数だけで 16,000 社に上る。その非営利団体が保有していたのは NPO への「寄付者」「患者」「学生」といった個人のデータだった。窃取されたのはそうした無数の個人の情報だ。
同社はこの種のインシデントに備えて演習やシミュレーションを繰り返し実施してはいた。しかし後に同社法務部長のジョン・オルソン氏は「事態の規模と速度はまったく想定外だった」と振り返る。演習で想定していた規模と、現実に展開した事態の間には、埋めようのない隔たりがあったという。
これは「ろくに対策もしていなかった組織がインシデントから多くを学んだ」的なものでは全く無い。むしろ手を尽くしていてもやられてしまい、なおかつ「全米が泣いた」ならぬ「全米から訴訟を受けた」企業の話である。演習を定期実施しているような成熟した組織こそこの記事の想定読者だ。
● 多地区訴訟への発展
ランサムウェア攻撃による情報漏えいに関する顧客組織への通知が始まると、事態は急展開した。通知を受けたそれぞれの非営利団体がそれぞれの「構成員」「寄付者」「患者」「学生」らへ順次通知を行った。そしてその通知された個人たちが動いた。自身のデータを管理していた Blackbaud 社に対して全米各地で訴訟を提起したのだ。その数は 30 件、40 件と上昇を続ける。
提起された訴訟群は MDL(多地区訴訟:Multi-District Litigation)として集約された。MDLとは、複数の連邦地裁に提起された類似事件を単一の裁判官の下に集め、効率的・統一的に管理するための米国固有の制度だ。異なる管轄、異なる証拠開示手続(Discovery)、異なる期限と懸案事項が混在する「多面的な法廷闘争」を一本化して管理するこの仕組みにより、バラバラに各地で闘わなければならなかった訴訟が集約され、管轄はサウスカロライナ州コロンビアに定められた。
訴訟が広がる一方で、規制当局による調査も同時に動き始めた。州司法長官(AG)による調査は 49 州による多州共同調査に拡大し、カリフォルニア州は独自調査を実施した。結果として実質全米 50 州すべてを巻き込む事態となった。連邦機関からは FTC(連邦取引委員会)、SEC(証券取引委員会)、HHS(保健福祉省、医療情報の保護を定める HIPAA の所管機関)の各機関から照会が入り、海外からは英 ICO(英国のデータ保護監督機関)、オーストラリア、アイルランド、カナダからも調査の照会があった。
対峙した相手は 30 以上の法律事務所と 40 名以上の原告個人だった。原告側が目指したのはクラス認定(class certification)で、すなわち多数の被害者を「クラス(集団)」としてひとつの訴訟に束ねることを裁判所に認めさせる手続きだ。もしこれが認定されれば、Blackbaud 社は数万、数十万人規模の被害者全員への損害賠償リスクを一度に負うことになる。
本セッションに登壇したのは本件の当事者である 2 人の人物である。
ジョン・オルソン氏(写真左)は Blackbaud 社の上席副社長 兼 最高法務責任者として 17 年間在籍するベテランだ。ジョージタウン大学で学士を、ディキンソン・スクール・オブ・ローで法務博士号(JD)を、セトンホール大学で MBA を取得している。メインフレーム時代の Unisys 社の勤務を経て、1990 年代末の通信革命期を経て 2008 年に Blackbaud 社に入社した。非営利団体向けサービスという業界の性質上、着任後 12 年間で関与した訴訟はわずか 6 件、そのうち 2 件は買収によるものだった。つまり、訴訟経験がほぼない企業で、史上最大規模の法廷戦争に臨んだことになる。
ロナルド・レイサー氏(写真右)はトラウトマン・ペッパー・ロック法律事務所のパートナーで、同事務所のプライバシー・サイバーセキュリティ部門を率いる。30 年近いキャリアを持ち、インシデント対応から訴訟、規制調査まで網羅的なサービスを提供してきた。2020 年 8 月の夜、この 2 名が MDL 戦略の骨格を描いた。すなわち、何を争点とし何を争点としないかという訴訟全体のグランドデザインだ。この夜の方針が、その後 5 年間の闘いの礎となった。
● バーチャル法律事務所(VLF)のチーム構成
インシデントが発生すると、対応は多面的かつ多分野にわたる。「法務」「セキュリティ」「広報」「カスタマーサポート」「経営陣」「外部弁護士」「規制当局対応」「フォレンジック」「保険会社」、これら畑も流儀もバラバラなこれだけの専門家たちを有事の直後に機能するチームとして機能するところまで組み上げなければならない。
Blackbaud 社が設置したのは「バーチャル法律事務所(VLF:Virtual Law Firm)」と名付けた横断的調整機構だ。社内からは「法務チーム」「CISO」「プライバシー担当」「社外・社内コミュニケーション」「カスタマーサポート」「経営幹部」が参加した。社外には、「 MDL 担当外部弁護士」に加え、「各規制法域のローカルカウンセル」「フォレンジック専門家」「攻撃者との交渉担当」そして「保険会社」と「保険ブローカー(保険会社との契約を仲介する専門業者)」が加わった。事態の規模に対応するため、この件専任の臨時プロジェクトマネージャーも採用した。
VLF は当初、調整会議を毎日実施した。各分野の状況共有と意思決定を日々行い、やがて日次が週次へ、さらに必要時の開催へと縮小していった。会議の場がチームとしての機能、相互理解、協働を育てたという。
VLF の立ち上げにあたっては、最初にコミュニケーションの基本ルールを設定した。いわく「オープンで透明であること」「非攻撃的であること」「犯人探しや責任追及をせず問題の解決のみに集中すること」、さらに自分のキャリアの保身ではなく「会社と関係者全員のために最善を尽くす」という一点をすべての意思決定の拠り所とした。
オルソン氏が繰り返し強調したのは「チームはゼロから構築する前提で考えなければならない」という点だ。これまで行ってきたサイバー演習では「この時点で X 氏を呼ぶ」「この時点で Y 氏を呼ぶ」という手順が語られることが多かったという。しかしその「 X 」や「 Y 」が誰なのかが演習では決まっていない、あるいは決まっていても互いに面識がないまま有事を迎えれば、機能するチームにはならない。だからこそ平時から関係を構築しておくことが、チームとしての機能を左右するという。
● 訴訟戦略の最重要ポイント
2020 年 8 月、レイサー氏がオルソン氏に提示した基本方針は次のものだった。「情報セキュリティプログラムの合理性(Reasonableness)を、この訴訟の中心的争点にしない」ことだ。
これは自社のセキュリティが不十分だったと認めるという意味ではない。争点を戦略的にずらすという判断だ。代わりに主戦場として設定したのは「因果関係(Causation)」「損害(Damages)」そして「確定可能性(Ascertainability)」の 3 点だった。
確定可能性(Ascertainability)とは、クラス訴訟の成立要件に関わる概念だ。クラスの構成員を客観的な基準で特定できなければ、クラスとして認定されない。Blackbaud 社のケースでは、構造化・非構造化データベースが混在する環境の中で、どのデータが窃取されどの個人が実際に影響を受けたかを特定することが技術的に極めて困難だった。レイサー氏はここに勝機を見出した。「最終的には Ascertainability で勝つ」、それが 2020 年 8 月の夜に構想したグランドデザインの核心だった。
セキュリティプログラムの合理性については、正面から争わないが完全に無視もしなかった。裁判官に対し「陪審員に委ねるべき問題だが、当社は適切に行動した」というメッセージを随所に盛り込み続けた。
訴訟の過程では、原告側と被告側それぞれの専門家証人(それぞれの当事者が選任して当事者に有利な弁論を展開するサイバーセキュリティの専門家)がセキュリティの評価方法について議論を交わした。原告側は「 MFA を導入していなかった」のような処方箋的アプローチで評価すべきだと主張し、これに対して Blackbaud 社側はリスクベースのアプローチが正当であると主張した。この「リスクベース」の主張は訴訟を通じた一貫したメッセージとなる。
