IT & Information security Journal
株式会社イセトー 1や株式会社KADOKAWA 2をはじめ、企業のランサムウェア被害が後を絶ちません。もしも自社においてランサムウェア被害が発覚した場合には、まずどこに相談・連絡し、どのような対応からとりかかるべきなのでしょうか。
初動対応の流れや外部委託に関する考え方、広報対応などについて、元内閣官房内閣サイバーセキュリティセンター(NISC)上席サイバーセキュリティ分析官であり、サイバーセキュリティ分野に深い知見を持つ、森・濱田松本法律事務所の蔦 大輔弁護士に聞きました 3。
蔦 大輔
森・濱田松本法律事務所外国法共同事業 弁護士
この記事のポイント
社外への相談以前の問題として、まずは社内の体制と対応方針を固めておくこと。そのうえで、ランサムウェア被害が発覚した場合に、社内で足りないリソースや対応しきれない作業を、外部の事業者に依頼する
警察などの行政当局への連絡は、初動対応が一段落した後のタイミングで行うことがあり得る。ただし、個人データの漏洩等があった場合には、個人情報保護委員会に速報(3~5日以内)を提出しなければならない
被害企業が公表する情報は攻撃者にも届くため、被害情報の公開範囲やその内容には注意が必要。また、内部からの思いもよらないリークを防ぐため、重要情報にアクセスできる人数を制限するなど社内の情報統制が必要
ランサムウェア等のサイバー攻撃による被害が発覚した場合、企業としてまずどこに相談すべきでしょうか。とるべき初動対応とともに教えてください。
まず、社外に相談する以前の問題として、自社としてどう対応していくのかを決定し、社内の動きを統一したり、役割分担を明確化したりしておく必要があると思います。具体的には、現場で被害が発覚してから、事象の状況や対応方針を社内でどうエスカレーション(伝達や業務の受け渡し)するのか、経営層のなかでもどの役員が指揮をとって対応するのか、役員が判断しなければならない事項は何か、どのように判断するか、広報対応としてどう情報を発信するのか、復旧にあたる情報システムや法務等の部門がどう連携するのか、などの検討が必要となります。また、どの業務から復旧させるべきかについては、企業によって優先度が異なり一般論として語りにくいところですが、優先的に復旧させる業務は初動対応のなかで決めておいたほうがよいでしょう。
インシデントが発生してから初めて動き始めると混乱するおそれがありますので、組織としてどう動くかは、あらかじめインシデント対応に関する規程を整備するなどして備えておいた方がよいと思われます。もちろん、どんな事案であっても規程に従えばよいというわけではなくケースによって対応は変わりますが、規程を策定することによって社内の交通整理ができる側面もあると思います。
こうした検討を経たうえで、社内で足りないリソースや対応しきれない作業を、外部の事業者に依頼することになります。たとえば、被害の詳細な調査や復旧を内製できる企業は限られるでしょうから、外部のセキュリティベンダーに委託することが多いでしょう。ただし、セキュリティベンダーは多忙なことも多いため、「一見さん」として急に初めて依頼すると、実際の対応までに時間を要するケースも多いため、こちらも、普段から有事に相談すべきベンダーを決めておき、コミュニケーションを取っておくことが望ましいと考えます。
また、何をどうすればよいかわからないなど、初期的な対応についてアドバイスをもらうのであれば、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)にインシデント対応を依頼することも有力な選択肢と思われます。
こうした外部の専門家等への相談を通じて、初期的な段階で、ランサムウェア攻撃を仕掛けてきた犯罪者グループをある程度特定することも有益と考えます。というのも、攻撃グループをある程度特定することで、攻撃の手法や傾向などをある程度絞り込むことができ、それによって迅速かつ的確な初期対応ができるからです。初期的な段階であらゆる対策を網羅的に行うことは、時間やリソースの関係上難しいので、ピンポイントで必要な対応を取るためには、こうした進め方も重要と思われます。
そのほか、広報対応についても、必要に応じて外部事業者にコールセンター業務を依頼したり、危機管理やインシデント対応のマネジメントをコンサルティング事業者等に相談したりすることが選択肢になり得ます。インシデント対応に詳しい弁護士に、特に法的な対応を依頼するケースもあるかと思います。このように外部の支援も受けながら体制を整えたうえで、原因究明、調査、復旧に臨むのです。
警察をはじめとした行政当局への報告対応については、どのタイミングで行うべきでしょうか。
私は、ここまでに紹介したような初期的な対応や復旧が最優先であり、当局への報告はその対応が一段落してからでよいのではないかと考えています。一方で、当局は早めに情報を把握しておきたいと考える傾向にあり、被害企業からの連絡に先立って、行政機関のほうから問い合わせがくることもあります。可能であれば、その対応に充てられるようなリソースを確保しておく必要があるでしょう。
また、期限が定められ、かつ義務となる当局対応として、個人情報保護法には個人データの漏えい等があった場合に、速やかに(3~5日以内を目安に)個人情報保護委員会に対して速報を提出しなければならないというルールがあり、これは気に留めておく必要があります。
ただし、法的な義務として幅広い事業者に適用されるルールがこの個人情報保護法しかないためか、企業はランサムウェア被害などの有事の際に、個人情報保護法への対応に偏りすぎてしまい、漏えいしたおそれがある情報が何かを確認する際にも、個人情報があるかどうかを最重要視してしまっている傾向があるように感じています。
ランサムウェア被害に遭った場合、多くの社内の機密情報を含めて暗号化されたり盗まれたりしているおそれがあるわけですから、個人情報の有無だけを考えるのではなく、事業上重要な他の問題(営業秘密など)にも気を配らなければなりません。特にBtoBの事業者の場合、保有している個人情報は、基本的に従業員の情報や、取引先の担当者の情報ぐらいで、消費者のプライバシー性の高い情報を大量に持っていることは少ないと思います。
個人情報保護法の義務に違反しないことはコンプライアンス上重要であることは否定しませんが、そこにリソースをかけすぎず、早期復旧や原因究明に注力しつつ、暗号化または漏えい等することによるリスクが高い情報が何か、ということをしっかり把握したほうがいい場合もあるように思います。
関係するトピックとして、2024年6月に公表された、個人情報保護法の次の改正に向けた中間整理 4では、個人データが漏えいした際の速報を一定の範囲で免除することが検討されています。速報はその時点でわかっていることをフォームにしたがって報告すればよいだけなので、速報を免除したとしてもそこまで大きな負担軽減になるとは思われませんが、この法改正がランサムウェア被害時の初動対応の優先順位やリソース配分について考え直すきっかけになるとよいなと思います。
株式会社ドワンゴがランサムウェア被害にあたり公表したFAQ 5では、「ランサムウェアと世間に公表すると、攻撃者が次のステップに進んでしまい、攻撃が激しくなる可能性があるので、ある程度安全が確認できるまで公表を差し控えておりました」という表現がありました。初動対応のなかで情報を公表しすぎることによるデメリットというのも考えられるのでしょうか。
個別の事案についてではなくあくまで一般論としてお答えしますと、犯罪者側の思考や行動を具体的に読み取れるわけではないため断言はできませんが、公表した情報は、当然、攻撃者側にも届きますから、一般論として、発信する内容には気をつける必要があると思います。たとえば被害企業が、漏洩した可能性がある情報の種類について公表すれば、攻撃者側は「あの情報を窃取したことは知らないらしい」「ここを攻撃したことには気づかれていない」などと、被害企業側の状況を把握するヒントを得て、「バレなさそうなところを、もっと攻撃しよう」などと考えることもあるかもしれません。
こうした話をすると、「攻撃者は日本語のサイトなんか見ない」と思われるかもしれません。たしかに、かつては「日本語」という言語自体が世界の言語と比較して相対的に難度が高いため、ある意味、攻撃の障壁になっていた側面もあると思いますが、今日では翻訳技術も非常に発展しており、攻撃者は日本語のプレスリリースを容易に読めますし、また、攻撃により窃取した日本語の資料も容易に分析できてしまう時代になってしまっているのではないかと思います。もちろん、公表は攻撃者の方向だけを見て行うものではなく、取引先や被害者、社会に伝えるべき情報もありますので、どういった情報を一般に公開するのかを慎重に検討したうえで発信することが求められます。
また、ランサムウェアをはじめとするサイバー攻撃を受けたり、システム障害が発生した際には、社内の情報統制がしっかりしていないと、思いもよらないところから内情がリークされて問題が大きくなってしまう可能性があります。そのため、初動対応の段階で、被害状況や対応方針などの重要な情報にアクセスできる人の範囲を絞ることも重要だと思います。
先日には、セキュリティ関係ソフトウェアのアップデート時にエラーがあり、世界中でブルースクリーンが発生してしまった事故がありましたが、その際にも、SNSで「ブルースクリーンになった」とか、「システム部門から○○(製品名)をアンインストールするように連絡が来た」といった投稿が多く見られました。こうした投稿は、所属組織が導入しているセキュリティ製品が何かが高い確度で推定されることになるため、基本的に避けるべきではないかと思います。こうした意味でも、情報発信や各従業員のSNSへの投稿に関してしっかりとルールを定めるなどしておくことが重要なのではないかと思います。
また、最近の出来事でいうと、サイバー保険に加入したことを公表した企業があったと思いますが、個人的にはそのような発信はやめたほうがいいと思います。自社の顧客に安心感を与えたり、自社サービスの安全性についてPRするという考えから発信したものと思われ、それ自体を完全に否定するわけではありませんが、たとえば、海外の攻撃者は、日本のサイバー保険が身代金を補償していないことを知らないと思われますので、サイバー保険に加入しているという情報を得た場合、「その企業には身代金を支払う能力がある」と考え、攻撃のターゲットになる可能性が高まってしまうかもしれません。実際に、攻撃者が、ランサムウェア攻撃を行いデータを窃取した後、その中から保険証券のコピーを探して、被害企業に送りつけ、「サイバー保険に入っているのなら身代金も払えるだろう」と脅すケースもあります。
ランサムウェア被害が発覚した際、パソコンやIT機器、ネットワークが使えなくなり、初動対応を進めるための資材が不足してしまうという懸念も聞かれます。
たしかに、どこまで感染が広がっているのかを特定できない段階だと、全ネットワークを遮断したり、感染の可能性がある全端末を隔離したりするのがもっとも安全でしょう。ただし、それではおっしゃるように復旧対応も滞ってしまいます。
原因究明の依頼を受けるセキュリティベンダーとしても、依頼者との関係も踏まえて、感染端末の隔離漏れリスクを最小化する観点から、少しでも感染が疑われる端末は隔離対象とせざるを得ないように思われ、その分復旧がどんどん遅くなってしまいます。
この点については、リスクベースで対処するしかないでしょう。つまり、感染している確率が相当程度低いと考えられる機器については、リスクをとったうえで復旧作業に投じていくという選択肢もあるということです。業務の復旧、再発の防止といった観点も含めて、全体的なバランスを見ながら判断しなければならないのではないかと思います。
ランサムウェア被害への対応について、参考となる事例はありますか。
毎年、セキュリティ関係の有識者が審査員を務める「情報セキュリティ事故対応アワード 6」というイベントが開催されています。これは、セキュリティ事故に遭ってしまった後に、上手く対応した企業を表彰するものです。事故や攻撃が発生してからの経緯、対応がわかるような受賞企業への取材記事も発信されていますので、参考になると思います。
このほか、インシデント対応に関する悩みやポイントを企業のブログで発信しているケースもありますし、セキュリティ関連のイベント等で、ランサムウェア攻撃対応の体験談等を講演しているケースもありますので、そうしたものを参考にするのもよいのではないかと思います。
ありがとうございました。
(取材:UNITIS編集部、文:渡邊智則)
この記事は会員限定です。
登録すると続きをお読みいただけます。
このサイトはreCAPTCHAによって保護されており、
Googleの
プライバシーポリシー
と
利用規約
が適用されます。
蔦 大輔
森・濱田松本法律事務所外国法共同事業 弁護士
サイバーセキュリティ、個人情報保護・プライバシー、IT・ICTを主たる取扱分野とする。サイバー攻撃対策として、事前の体制整備等の取組、攻撃を受けてしまった後の被害拡大防止のための事後対応について豊富な知見を有する。元内閣官房内閣サイバーセキュリティセンター(NISC)上席サイバーセキュリティ分析官。慶應義塾大学大学院政策・メディア研究科特任准教授。サイバーセキュリティ法制学会理事。総務省、警察庁、経済産業省などで有識者委員を歴任。近時の著書として、「クロスセクター・サイバーセキュリティ法」(商事法務NBL連載)、『情報刑法I サイバーセキュリティ関連犯罪」(弘文堂、2022年)、『60分でわかる!改正個人情報保護法超入門』(共著、技術評論社、2022年)ほか多数。
UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。
ランサムウェア対応の実務家対談
この記事をシェアする
最新情報をフォローする