アメリカ・インディアナ州最高裁判決-ランサムウエアへの支払いと保険金カバーをめぐる判決と議論

コロニアルパイプライン事件でのランサム(身代金)の支払いの可否については、「パイプライン攻撃事件の法的論点 (支払うべきか、支払わざるべきか、それが問題だ) -Colonial Pipeline事件」でふれたところです。

そこでは、ふれませんでしたが、インディアナ州で今年の3月に関連する判決が出ていました。その判決は、G&G Oil Co. of Indiana, Inc. v. Contl. W. Ins. Co., 20S-PL-617, 2021 WL 1034982 (Ind. Mar. 18, 2021) です。

この判決についは、法律事務所の分析報告書がでています。(INDIANA SUPREME COURT FINDS POTENTIAL FOR INSURANCE COVERAGE FOR RANSOMWARE ATTACK

 

G&G Oil社は、FBIに相談した後、要求された身代金を約35,000ドル相当のビットコインで支払い、コンピュータシステムへのアクセスを回復しました。

G&G Oil社の商業犯罪保険では、

コンピュータ不正行為(Fraud)

「金銭」、「有価証券」、「その他の財産」に対する損失または損害に対して、「コンピュータを使用して、「施設」または「銀行施設」の内部からその財産を不正に移転させたことに直接起因する、a.それらの「施設」の外部にいる人(「メッセンジャー」を除く)、またはb.それらの「施設」の外部にある場所への移転

を補償していました。

この事件では、
(1)ランサムウェアによる攻撃が、対象となる保険契約の条件における「不正な」行為に該当するかどうか、

(2)損害が「コンピュータの使用に直接起因する」かどうか

が争点とされました。

下級審においては、

裁判所は、「ハイジャッカーは、身代金として支払うビットコインをG&Gに購入させるために、コンピュータを使って詐欺行為を行っていない」と判断し、「ハイジャッカーは、G&Gにビットコインを購入させるために、真実を曲解したり、詐欺行為を行ったりしていない」と判断しました。この問題に関するコンチネンタル社に有利な略式判決を決定したため、控訴裁判所は、G&G Oil社の損失の有無という問題には触れなかった。G&G Oilの損失がコンピュータの使用から直接生じたものかどうかという問題には触れなかった。

という判断がなされました。

最高裁は、

I. ポリシーの「不正に譲渡を引き起こす」という表現は曖昧ではないが、どちらの当事者も略式判決を受ける権利はない

最初の論点は、控訴審のように略式判決をなすべきかどうかという論点です。この論点に関して裁判所は、解釈を検討して、もし、G&G Oilにっとも有利に解釈した場合には、結論が異なることを認めて、その場合は、略式判決は妥当ではないということを論じます。その上で

この結果は、「ハッカーは、みずからをG&G Oilのシステムに挿入した」と認定し、コンピュータ・ハッカーがトリックによってG&G Oilのコンピュータにアクセスしたと認めることを躊躇しているかのような裁判長自身の分析と一致する。それはある種の欺瞞を含んでいたかもしれないが、(家の泥棒が窓から侵入したり、車の泥棒が盗んだ鍵を使ったりするのと変わらない」としている。App. 10(強調)。

この用語の上記の定義に基づき、我々は事実審の裁判長がこの用語をあまりにも狭く解釈したと判断する。したがって、この点に関する当事者の略式判決の申し立てを認めることはできない。しかし、これで我々の調査が終わったわけではない。我々は、G&G Oil社の損失が「コンピュータの使用に直接起因する」かどうかを検討しなければならない。

答えがノーであれば、Continental社は略式判決を全面的に受ける権利があり、補償が拒否されたのは、適切であったことになる。

としました。

II. 不正行為とG&G Oilの損失との間には、その損失がコンピュータの使用に直接起因するような十分な因果関係がある。損失は、コンピュータの使用に直接起因するものである。

次に裁判所は、G&G Oil社の損害がコンピュータの使用に直接起因するかどうかを検討しました。

G&G Oil社は、その損害はコンピュータの使用に直接起因するものであり、保険契約の対象となると主張しました。 一方、保険会社は、G&G社が自発的にビットコインを譲渡したことは、因果関係を断ち切る介在要因であり、損失はコンピュータの使用から「直接」生じたものではないと主張しました。 下級裁判所は保険会社に同意し、損失は「コンピュータの使用から直接」生じたものではないと判断しました。 具体的には、下級裁判所は、G&G Oil社がランサムウェアの要求を満たすために自発的にビットコインを支払ったことが、損失の介在原因であると判断しました。

インディアナ州最高裁は、辞書の定義を含む複数の情報源を再度参照し、G&G Oil社の行為(すなわち、ビットコインの送金)は、

今回のG&G Oil社の行動を分析すると、ビットコインの送金は、コンピュータを使用したことによる大きな逸脱もなく、ほぼ即座に行われたものでした。確かにG&G Oil社の送金は自発的なものでしたが、それはFBIや他のコンピュータ技術サービスに相談した後に行われました。指定された証拠によれば、G&G Oil社の業務は停止しており、コンピュータファイルへのアクセスがなければ、G&G Oil社のビジネスと収益性にさらに大きな損失が生じたと考えるのが妥当である。 これらの支払いは、G&G Oilが意識的に支払ったという意味でのみ「任意」であった。しかし、我々には、この支払いは強要されて行われたものに近いと思われる。このような状況下では、「任意」の支払いは因果関係を断ち切るほど遠いものではなかった。したがって、G&G Oil社の損失は「コンピュータの使用に直接起因する」と判断する。

と判断しました。

すでに上であげたエントリでふれた通りに、フランスの保険大手アクサは、身代金補償契約を停止したと報道されており、また、ドイツにおいては、身代金補償が許されるようになったという報道があります 。

また、さらに、身代金の支払いをカバーすることでプレミアムをつけて解決する動きが進んでいるという報道もあります

Thanx for picture

 

関連記事

  1. 防衛におけるサイバー/宇宙-NATOのブリュッセル・コミュニケ
  2. CyConX travel report Day -Zero C…
  3. 安全保障推進法案のスライドを作ってみる
  4. デジタル証明書の定義
  5. SolarWinds作戦の国際法的分析について
  6. アトリビューション-サイバー攻撃 名指し「反撃」
  7. 西貝吉晃「サイバーセキュリティと刑法」
  8. 中国のネットワークセキュリティ法のひとつの論点
PAGE TOP