LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

ラックピープル | 

【特別対談】サイバーセキュリティ専門弁護士×ラックCTO「身代金要求だけじゃない?ランサムウェアが企業経営に与える被害と影響とは」

「ランサムウェア攻撃に対する企業の備えは大きく3つある。当事者意識を持つこと、基本的な対策を怠らないこと、データバックアップを取ることだ。攻撃の起点となる標的型攻撃メールに対する訓練は、当事者意識を育成するうえで有効だ」(森・濱田松本法律事務所の蔦大輔弁護士)。

ラックは2022年9月30日、「身代金要求だけじゃない?ランサムウェアが企業経営に与える被害と影響とは」と題してオンラインセミナーを開催した。サイバーセキュリティを専門とする弁護士で森・濱田松本法律事務所に所属する蔦大輔氏と、ラック執行役員CTOを務める倉持浩明による対談の様子を紹介する。

森・濱田松本法律事務所に所属する蔦大輔氏(右)と、ラックで執行役員CTOを務める倉持浩明(左)
サイバーセキュリティを専門とする弁護士で森・濱田松本法律事務所に所属する蔦大輔氏(右)と、ラックで執行役員CTOを務める倉持浩明(左)

「サイバー攻撃に関する相談件数は多い」と蔦弁護士は話す。自社がサイバー攻撃を受けたことや、海外子会社がサイバー攻撃を受けたことに関する相談だ。これらの企業にランサムウェア攻撃を受けた原因を聞くと、およそ半数がVPN製品の脆弱性を突かれたことを挙げるという。

ラックのCTO(最高技術責任者)を務める倉持は、サイバー攻撃を受けた企業に対して「1日でも早く事業を復旧できるように技術的な支援を提供している」と説明する。ラックの緊急対応窓口であるサイバー救急センターが被害状況を確認し、被害の拡大を防ぐための応急処置を実施。並行して影響範囲やインシデント発生源などを調査する。

プレスリリース作成や当局への報告などを弁護士が支援

サイバー攻撃を受けた企業を対象とした弁護士の支援はいくつかある。プレスリリースを出すかどうかの検討、プレスリリース文面の作成やレビュー、取引先に提出するデータの作成などだ。セキュリティベンダーに作成を依頼した調査レポートの内容を確認することもある。

調査当局への対応も弁護士が担当する。例えば、サイバー攻撃によって個人データが漏えいした場合、改正された個人情報保護法(2022年4月1日施行)に基づき、原則として個人情報保護委員会に報告する義務があり、併せて、本人にも通知する必要がある。弁護士は、個人情報保護委員会への報告書について、作成またはレビューをする。また、個人情報保護委員会に代理で報告することもある。

倉持は、弁護士の支援について「企業は、セキュリティ事故に遭遇した場合の報告のやり方や報告書の内容などには慣れているわけではない。海外事業では個人情報に関する規制の違いや法律の違いもある。このような場合に、何をしたらいいかについて専門の弁護士のサポートを得られることは心強い」と評価する。

ランサムウェア被害を復旧するための「身代金は払わないで」と伝えている

ランサムウェア攻撃は、企業の情報システムやパソコンのデータを暗号化し、身代金を要求する。被害に遭った場合、「身代金を払うか否か」という問題がつきまとう。「あまり公表されていないだけで、身代金を払っている企業もある」(倉持CTO)。

蔦弁護士によると、「身代金を払ってもいいか」という相談は多いという。これに対して蔦弁護士は「払わないでほしい」と明確に回答していると話す。経産省、警察、JPCERT/CCなどが一律に「払わないで」と言っていることも理由の一つだ。「身代金を払っても暗号化データを復号してくれる保証はないし、その場をしのいだとしても根本原因の解消にならない」(蔦弁護士)。

蔦弁護士はさらに「攻撃者同士が裏でどうつながっているかも分からない」と指摘する。ある攻撃者に身代金を払って解決した場合、裏でつながっているネットワークからは「あの会社にランサムウェア攻撃を仕掛けたら身代金を払う」という評価を受けるリスクがある。
「サイバー攻撃を行う側も、ビジネスとしてやっている側面があるので、身代金を払えばデータを元に戻すケースはそれなりにあると聞く。統計的に見ると、半分ぐらいのケースでデータを元に戻せていると聞いたこともある」(蔦弁護士)。ただし、犯罪者を信用してはいけないと蔦弁護士は警告する。身代金を受け取ったままデータを戻さないこともあるからだ。

倉持も「原則としては、払わないでほしい」と指摘する。「1回でも払ってしまえば"カモリスト"に載ってしまう。金を稼ぐ手段としてランサムウェアが有効だ、というメッセージを攻撃者に出してしまうことになる」(倉持CTO)。

身代金を払ったから違法になるというものではない

蔦弁護士には、「身代金を払ってもいいか」という質問のほかに「身代金を払っても違法ではないか」という質問も寄せられるという。こうした違法性の質問に対して蔦弁護士は「現状、直接的に違法になるものではない」と伝えている。

違法性につながるレアケースとして蔦弁護士は、経済制裁の対象になっている国(北朝鮮など)に住んでいる人に身代金を払うことを挙げる。「外為法においては、原則ダメと言われている」(蔦弁護士)。もっとも、サイバー攻撃者が居住地を自ら明かすとは考えられないので、法を適用できる場面はそうそうないのではないか、としている。

一方で、サイバー攻撃者は紛れもなく犯罪者だ。恐喝罪やコンピュータウイルスに関する「不正指令電磁的記録に関する罪」や「電子計算機損壊等業務妨害罪」が成立する。犯罪で得た収益は、攻撃者にとっての利益となる。このため、犯罪者にビットコインを送金する点については「犯罪による収益の移転防止に関する法律」(犯収法)の面でも「疑わしい取引」と評価されかねない、とも指摘する。

損害賠償を想定しておく必要がある

ランサムウェアは事業の停止や信用の失墜も引き起こすなど企業に損害を与える。調査や復旧に関わる費用も発生する。倉持は、ランサムウェアによる損害として企業が想定しておかなければいけないものについて、蔦弁護士に意見を仰いだ。蔦弁護士は、想定しておくべきものとして、損害賠償を挙げている。

「個人情報が漏れた場合、本人から慰謝料の請求が来る可能性がある。会社の情報管理に問題があり、過失という認定がなされると、請求が認められることがある」(蔦弁護士)。取引先の情報が漏れた場合も、損害賠償につながる。その場合、個人情報の慰謝料とは違い「情報の価値を金銭に換算することが難しいケースが多い」と蔦弁護士は指摘する。

「改めて、セキュリティ対策は経営課題だ」と倉持は指摘する。蔦弁護士も同意し、会社法における内部統制システムの構築義務があるとしている。

「会社が負った損害を役員が賠償しなければならないケースがある。情報管理の体制を整えていない点について、役員が責任を問われる。裁判例で認めたものは今のところないが、論点として訴訟を起こされているケースはあるという点は注目に値する」(蔦弁護士)。

当事者意識、基本的な対策、バックアップの3つが有効

蔦弁護士は、企業が取り組むべきランサムウェア対策を3つ挙げる。1点目は、当事者意識を持つこと。2点目は、基本的な対策を怠らないこと、3点目は、暗号化への対策としてデータのバックアップを取得しておくことだ。

当事者意識は大切という。「攻撃を受けるわけがないと思っている企業は多い。1回攻撃を受けた企業は対策に熱心だが、1回も攻撃を受けたことがない企業は違う。現場の熱意が高くても、投入できるリソースに限界があるため、対策にも限界がある」(蔦弁護士)。

OSやソフトウエアを最新版にアップデートするといった基本的な対策を怠らないことも大切だ。VPNのソフトウエアを更新していなかったことで脆弱性を突かれたケースが目立っている。「認識しつつも更新が遅れたケースもあるが、そもそも油断していて管理を怠っていたケースが多い」(蔦弁護士)。

VPN製品の脆弱性については、脆弱性を突いて不正アクセスを行うパターンだけでなく、脆弱性を突いて予め窃取した認証情報を使って、後から侵入してくるパターンがあることを忘れてはいけない。

「あるタイミングで脆弱性を解消しても、それ以前に取られてしまっていた認証情報で不正アクセスを許してしまったケースもあった」(蔦弁護士)。

暗号化への対策として、データのバックアップも有効だ。暗号化データを元に戻すだけなら、バックアップによって対策が完了するからだ。もちろん、ランサムウェアは「情報を公開されたくなければ身代金を払え」という意図と「暗号化データを元に戻してほしければ身代金を払え」という意図の2重の脅迫をしてくるのが実情であるため、情報漏えいへの対策としてバックアップは無力と言えるものの暗号化への対策としてはバックアップが有力なのだ。

メール訓練は開封率よりも報告率を重視せよ

当事者意識を高め、インシデントに備えるための施策として、疑似的な標的型攻撃メールを従業員に送って従業員の反応を確認するとともに、開封率をできるだけ低くできるようにする「メール訓練」がある。ラックもメール訓練サービスを提供している。倉持は、メール訓練を利用する上でのアドバイスを蔦弁護士に求めた。

蔦弁護士は、メール訓練で重要なポイントとして、開封率を気にし過ぎないことを挙げる。もちろん、標的型攻撃メールは開封しないことが一番良い。しかし「メールを開封したかしなかったかに一喜一憂する姿勢は望ましいとは言えない」と指摘する。というのも、疑似攻撃メールをより巧妙に作り込めば、開封率は当然上がるからだ。

ある企業では、大手IT企業から出向してきたメール訓練担当者が訓練メールを作成したところ、80%という高い開封率となったという。

「巧妙にメールを作れば、いくらでも開封率が上がる。それよりも、不審なメールが届いた時/開封した時に、どういった対応をすべきかの訓練の場と思ってもらいたい」(蔦弁護士)。

メールを開封したメンバーを責めることは悪手だと蔦弁護士は指摘する。実際にメール攻撃を受けてメールを開封した時に「メールを開封したことを報告したら、責任を取らされる」と思い、攻撃を受けたことを隠してしまうようになるからだという。

「不審メールが届いたことや開封したことを報告する仕組みを持っているかどうか、実際にその仕組みに沿った行動したかどうかをプラスに評価することが大切だ」(蔦弁護士)。

倉持も、「巧妙なメールは増えている。だまされやすい文章も増えてきた。メールを開いた際に、即座に連絡できることが被害を極小化する」と蔦弁護士の説明にうなずく。

「専門家に相談できる環境を整えておくことも重要だ。ラックのようなセキュリティ専門企業や、セキュリティを得意とする弁護士に相談してほしい」(倉持)。

セキュリティ教育とメール訓練でセキュリティ意識が向上

セミナーの後半では、ラックの担当者3人が登壇し、ラックの取り組みを紹介した。営業を担当する営業統括部ソリューション営業推進部第二Gの久々江里莉が、セキュリティ訓練サービスを担当するDI統括部デジタルセキュリティサービス部セキュリティマネジメントGの末次研斗と、ラック社内向けの教育訓練を担当する総務・法務部リスクマネジメント室の菊池完人に、セキュリティ教育とメール訓練の重要性を聞いた。

ラックの久々江里莉(左)、末次研斗(中央)、菊池完人(右)
ラックで営業を担当する営業統括部ソリューション営業推進部第二Gの久々江里莉(左)、セキュリティ訓練サービスを担当するDI統括部デジタルセキュリティサービス部セキュリティマネジメントGの末次研斗(中央)、ラック社内向けの教育訓練を担当する総務・法務部リスクマネジメント室の菊池完人

末次は、企業におけるセキュリティ教育の重要性を指摘する。参考資料として、IPA(独立行政法人情報処理推進機構)が毎年発表している、セキュリティに対する脅威のランキングを示した。2022年の上位3つは、「ランサムウェアによる被害」「標的型攻撃による機密情報の窃取」「サプライチェーンの弱点を悪用した攻撃」だ。「従業員がきっかけになるパターンが多い。従業員が対応を間違えると、技術による対策だけでは防げない」(末次)。

菊池は、ラックの社内向けの教育を紹介した。まずは基礎編として、情報セキュリティとは何かから、情報資産の取得から廃棄までの注意点、メール/Webなどの注意点などを説く。各論としてメール編も用意している。CSIRT訓練もあり、ブルーチームとレッドチームに分かれてインシデント発生時の対応をシナリオベースで訓練する。

各論メール編では、標的型攻撃メールの見分け方などを解説するとともに、不審なメールを受信した際にすべきこと、報告の仕方、などを解説する。「ポイントは、開封したかに加え、報告率を重視していること。報告すれば被害の拡大を防げる。調査もできる。報告しないことがリスクになる」(菊池)。

「ラックでは、訓練メールを開封しても、報告ができれば問題なしとしている」(菊池)。開封後に報告しなかった人にはフォローアップ訓練を実施する。フォローアップ訓練でも正しいことができなかった場合は、上司に状況をヒアリングしてもらい、場合によっては指導してもらう。「不審メールの報告件数は年々増えている。メール訓練と研修によってセキュリティ意識が向上してきた結果だと考えている」(菊池)。

末次も同意する。「ラックのサービスを使って訓練を実施して頂いている企業の中では、開いてしまった際の報告率を90%近くに保っている企業もある」(末次)。

ラックはメール訓練の悩みを解消するサービスを提供

ラックは2022年4月、企業のメール訓練担当者にアンケートを採って悩みを聞いた。悩みの上位3つは「メール訓練後の社員教育(フォロー)ができていない」「社員教育のコンテンツ準備に時間がかかっている」「訓練メール(疑似攻撃メール)の文面作成が難しい」だった。これを受けてラックは、メール訓練と教育をセットで提供する「T3 with セキュリティ教育」をリリースした。

メール訓練と教育をセットで提供するサービス「T3 with セキュリティ教育」の概要
メール訓練と教育をセットで提供するサービス「T3 with セキュリティ教育」の概要

T3 with セキュリティ教育の特徴を、末次は3つ挙げる。1点目は訓練テンプレートが77種類と多く、各種パターンの訓練を実施できること、2点目は、契約期間内であればいつでも何度でも訓練を実施できること、3点目はフォローアップコンテンツとして現場やセミナー等で活躍するセキュリティ専門家が作成したeラーニングを受講できることだ。

「訓練の結果を集計して表示する。過去に訓練した時との差が分かるほか、同業種の他企業との差も分かる」(末次)。

インシデント対策は、脅威に対する社員全員の知識・経験が重要だ。
そのためには標的型攻撃メールの「見分け方」「報告の仕方」を、研修などで「知識を学び」、メール訓練で「実際に体験する」、すなわち座学と実践の両輪で教育していくことが大切だ。

ここまで見てきたように、セミナーではランサムウェアを中心とする、セキュリティ懸念の拡大の中で、企業が実施するべき施策を分かりやすく伝える内容となった。

関連情報

対談セミナーのアーカイブ動画(ラック公式YouTubeチャンネル)

標的型攻撃メール訓練 T3 with セキュリティ教育 無料トライアルのご案内

30日間の無料トライアルを、こちらからお申し込み頂けます。

「情報セキュリティ教育/トレーニング」に関するお問い合わせ

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • セキュリティアカデミーがオススメする「効果的な一般社員向けセキュリティ教育の実施方法」

  • メール訓練とセキュリティ教育の連動が企業にもたらす大きな成果

  • 電子メール経由の攻撃手法に備える!ラックが手掛ける実践訓練