”便利”に潜むリスク

盛り上がりを見せている東京2020!
コロナウイルス感染症の影響で無観客での開催ではあるが、熱い競技が繰り広げられ、テレビにくぎ付け中である今日この頃です!
ふと、直近での激動の時代の流れを振りかえると、2018年頃から訪日観光客【インバウンド】が一気に増え、2019年はラグビーワールドカップがこの日本で開催され、多くのファンが訪日されました。
2020年はコロナウイルス感染症の影響で訪日観光客は激減しましたが、新しい仕組みであるオンラインが活性化し、世界のどこへでもオンラインを通じて繋がる事ができるようになりました。また、今やオンライン面談が当たり前になり、会議もオンライン、飲み会もオンラインの新時代となり、益々、利便性が増し、我々のライフスタイルが変化していくのではないでしょうか。

一方、この新しいオンラインシステムの利用者数が激増している中、また開発により、より簡単に世界の方と繋がれるからこそ、気をつけなければならない事もございます。

いきなりですが、『改正個人情報保護法』、皆様ご存知でしょうか???
2020年6月に成立、公布され2022年春頃を目途に施行される予定の保護法になります。
不正アクセスによる情報漏えい時の報告や本人通知が義務化される見込みであるなど、特にサイバー攻撃に対して、より厳格な対応が求められる事となり、この後に詳しく触れたいと思いますが、まずはサイバー攻撃の脅威について触れたいと思います。

~ 防げない標的型攻撃 ~

サイバー攻撃の入口はメールが90%と言われております。
マルウェア(※)【Emotet】を仕込んだ標的型メール攻撃により、中小企業でも多数被害が発生しています。

※マルウェア(Malware)とは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称

【Emotetの特徴】
 ■ 添付文書(主にWord)を開き、コンテンツの有効化を実行すると、Emotetがダウンロードされる。
 ■攻撃者が用意した外部サーバーに接続し、自らアップデート。
 ■アカウント情報、パスワード、メール内容、アドレス帳を盗取され、自社を装った攻撃メールを取引先に送付される。

~ 攻撃 ~

  1. 攻撃型マルウェア付きメールを送付(標的型メール)
  2. 添付されたWord文章を開き、マルウェアに感染(攻撃者はID・PWを盗取、PCを乗っ取り、情報を入手)
  3. 乗っ取ったPCからサーバーに侵入、情報盗取と乗っ取ったPCから他のPCに侵入、情報盗取
  4. 情報流出
  5. 盗取した取引先等のメールアドレスになりすましメールを送付(止めようがない)。

~ Emotetに感染させる手口とは? ~

2020年9月から、暗号型Zip(パスワードつき)ファイルを添付する手口が横行しました。
この場合、メール本文内にパスワードが記載されています。
メールの差出人、宛名メールアドレスに違和感があれば、ファイルやリンク先URLは絶対にクリックしないようにしてください。

~ ランサムウェアの特徴について ~

ランサムウェア(Ransomware)とは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた名称であり、コンピュータウィルスの一種です。
このウイルスに感染するとパソコン内に保存しているデータを勝手に暗号化されて使えない状態になったり、スマートフォンが操作不能になったりしてしまいます。
また、感染した端末の中のファイルが暗号化されるのみではなく、その端末と接続された別のストレージも暗号化される場合もあります。
そして、その制限を解除するための身代金を要求する画面を表示させるというウイルスです。
PCファイルを盗んで公開し、高額な身代金を要求する被害が多発しております。
従来の手口は、ファイルを暗号化して、復旧と引換に身代金を要求する事でありましたが、最近の手口は、暗号化する前に大量の情報を盗み出し、その後暗号化する脅迫に従わない場合は盗み出した情報を小出しに公開し高額な身代金を要求するようになりました。
つまり、『暗号化したファイルを見れなくしてやったぞ』、『情報は入手した』、『金を払わなければ情報をばらまくぞ』と言ったように重ねに重ねて脅迫してくるスタイルです。
某有名企業が、このランサムウェアの攻撃を受けたというニュースも記憶に新しいところです。

テレワークに潜むサイバーリスク

次に、テレワークに潜むサイバーリスクについても見て参りましょう!
まず、攻撃者は堂々とセキュリティを正面突破してきます。
社内ネットワークではファイアーウォールやプロキシー等で100%ではないものの、ある程度攻撃を防ぐことはできます。
ただ、在宅勤務でのテレワークにより社外端末から侵入し、標的型メール、Webサイトからダウンロード、また端末の紛失、ファイルの公開設定、後送信、誤チヤットによる自爆型から侵入されるケースが確認されています。
端末を社外に持ち出すことで、サイバー攻撃のポイントが増加している事で企業側からは守るべきポイントが増加している事も認識をしなければなりません。

事例1、社外端末からの侵入事例(三菱重工業2020年8月7日付プレスリリースより)

■4月29日
 従業員が在宅勤務時に自宅で社内ネットワークを経由せず外部ネットワークへ接続、SNSを利用した際、第三者から受領したウイルスを含んだファイルをダウンロードした事により、該当従業員の社有PCが感染。
■5月7日
 該当従業員が出社し、社内ネットワークに接続。
■5月18日
 社内ネットワークを通じ、感染が拡大。。。

事例2,自爆型(大阪府2020年5月8日付プレスリリースより)

■4月17日
 教諭Aはテレワーク(在宅勤務)で調査書を作成する為に、3年生全生徒の個人情報を私物のUSBメモリに保存し、上着のポケットに入れた。
■同日
 教諭Aは、校務の為学校の自転車にて出張した。帰校後、USBメモリを確認したところ、紛失をしている事が判明した。職員室等を捜索したが、発見出来なかった。

個人情報漏洩と改正個人情報保護法

近年、このような個人情報漏えいのニュースが非常に多く流れています。
個人情報の漏えいは、どのような個人・組織でも起こる可能性があります。
組織が引き起こす個人情報の漏えいは、その組織自体に非常に大きなダメージを与えますので、今すぐに対策すべき問題であり、経営者だけでなく、一人一人がその意識を持っていないといけない時代であると言えるのではないでしょうか。

そこで、今回の改正個人情報保護法について詳しく見ていきたいと思います。
個人情報漏えいを発生させた場合の、被害者への通知ルール(概要)を見て参りましょう!

<被害者への通知ルール>
 ■ サイバー攻撃(不正アクセス等)が原因である場合には例外なく通知を義務付け。
 ■ サイバー攻撃が原因でなくとも、病歴などのセンシティブ情報が漏えいした場合や漏えいした人数が膨大な場合は通知を義務付け。
 ■ 違反した場合には最大1億円に加え、悪質な場合には社名を公開。

つまり、被害者へ『通知』するための詳細な原因・被害範囲の調査、そして適切な説明が不可欠になると言うことです。

説明をするためには、発生した事故を調査する必要があります。
その調査のことを、専門用語でフォレンジックといいます。
フォレンジックを直訳すると『法廷の』『法医学の』と言った意味がありますが、インシデント(※)発生時に、牽引や被害の範囲等全容を明らかにするため、コンピューターや記録媒体に残された証拠を調査するという意味であります。

(※)インシデント:ちょっとした異変という程度で済んだが、もしかすると大事に発展していたかもしれなかった出来事、あわや大惨事となっていた可能性もあった事態、一歩間違えていたら本格的にヤバかった状況、という意味合いで用いられる表現。

それでは次に、インシデント発生時の対応例を見て参りましょう!

【想定:Emotetに感染した事例】
・ある中小企業で従業員AがEmotetを仕込まれたメールを受信、添付文章を開き、マルウェアに感染。
・取引先から従業員Aのメールが不審である旨連絡を受けた(A本人は配信していない)
・従業員Aの複数の取引先に大量の「なりすましメール」が発信されていた。

時系列対応
  1. インシデントの認知:なりすましメールが送付された取引先からの連絡など。経営層・IT部門等、社内の関係者に内容を共有
  2. 初動対応:端末をネットワークから隔離するなど被害の拡大を防止する。ただし証拠を保全する必要があるため、上書き等変更を加えない。
  3. 調査:原因や被害の内容、範囲等を調査するため、デジタル・フォレンジックを実施。
    ⇒専門事業業者に依頼する必要がある
  4. 報告・公表:警察・監督官庁・個人情報保護委員会へ報告し、顧客・被漏えい者に謝罪、プレスリリース等での公表
  5. 再発防止:脆弱性の除去、セキュリティ体制の見直し等


となります。

ではデジタル・フォレンジックの流れ、その費用についても見ておきましょう。

①マルウェアに感染したPCを調査
 検知されたマルウェアの種類や不正プログラムの痕跡等解析
 ※すぐにネットワークから隔離したなどにより、結果、該当PCのみの調査で済む場合もある。

➁感染が疑われる他のPCやサーバーを調査
 ①の結果、他のPCに感染の疑いがある、または感染が無い事が確認出来ない場合は調査が必要になる。
 フォレンジック調査費用の目安は、
  PC1台:50万円~100万円超、
  サーバー1台:100万円超~。
 ※あくまでも目安であり実際は調査内容により異なります。

③サイバーセキュリティ保険の必要性
 ➁のような調査費用が多額になる可能性もあり、万が一の為にサイバーセキュリティ保険の加入をお勧めします。
 商品の特殊性からも、加入にあたり専門のファイナンシャルプランナーにご相談下さい。

つまりは、サイバー攻撃により個人情報が漏えいし、漏えいの原因・被害範囲・再発防止策が不明では、適切な通知・報告ができません。
これは、改正個人情報保護法の通知ルール違反になり、最大で1億円の罰金に加え、悪質な場合は社名の公表の制裁があるため、専門の業者を呼んで詳細な調査をするとお金がかかります。
そして、そもそも、どんな業者に相談をすれば良いかわからないなんて事は、言ってられないという事になります。

更に、感染した中小企業は、自らも『他者から感染』した被害者であることを証明しなければ、事件の発端とみなされ100%の過失割合となる可能性が大きくなります。
言い換えれば、踏み台になった中小企業の過失割合は100%が出発点になるという事です。

またこの通知の義務付けは、サイバー攻撃等の実態が把握しきれない危険な状態である事、一番低いレベルに全体を押し上げる義務の意味もありますが、逆を言えば、サイバーインシデントを繰り返したり、報告・通知の体制が無い企業は存続が難しくなることは言うまでもありません。

サイバー攻撃の実態

中小企業の5社に1社がサイバー攻撃の被害を経験しています。
決してウイルス感染などのサイバー攻撃のリスクは他人事ではありません。(※)
改正個人情報保護法により、より厳格な世界基準の対応が企業規模にかかわらず求められます。
(※) 2019年一般社団法人日本損害保険協会[中小企業の経営者825人に聞いたサイバーリスクへの意識調査]より

是非、サイバー攻撃や対策について、社内での認識向上をするとともに、具体的な対策を講じてみてください。
サイバー攻撃を排除する事はできない。
サイバーリスクの管理をするべきであり、不審メールの開封を完全に防ぐことを目標とする対策は現実的ではなく、メール開封(少なくとも端緒の端末1台は感染すこと)を前提とした対策が必要ではないでしょうか。

今すぐ行動を! そして、今を変えれば過去も未来も変えられる!!!