経営判断を迫るサイバー攻撃・ランサムウェアの最新動向について
経営判断を迫るサイバー攻撃・ ランサムウェアの最新動向について(けいえいはんだんをめぐる - こうげき・- のさいんしんどうこうについて)とは、山岡裕明が国際商事法務Vol.49、№10(通巻712号)に連載したコラムである。
概要
国際商事法務研究所(IBL)は、国際ビジネス法の分野における専門情報機関として、法務関連情報を迅速・正確に提供しております。また、国際的な法務センスを備えた人材養成のための法務教育機関としても長年の実績を有し、国際法務関係者の信頼に応えております
本文
Iランサムウェアとは
ランサムウェアによるサイバー攻撃が世界中の企業にとって看過できないリスクとなりつつある。
ランサムウェアとはランサム(身代金)及びマルウェアから成る造語である。
従来ランサムウェアの攻撃手法は,端末内のデータを暗号化して利用できなくさせて,復号 (復旧)の対価として身代金を要求するものであった。
ところが,昨今,ランサムウェアの攻撃手法に変化が見られている。すなわち,従来のデータの暗号化に加えて,端末内のデータを窃取したうえで,データの復号及び非公開の対価として身代金要求するという手法が確認されている (「二重の脅迫」型とも呼ばれている[注 1]。)。
Ⅱランサムウェア攻撃の深刻化
調査[注 2]によると, 2020年8月から2021年7月の間の12ヶ月間で,ランサムウェアによるサイバーインシデントは121件発生しており,前年比で64 %増加している。
また,同調査によると,身代金として要求される金額も高額となっており,1件あたりの平均額は1 ,000万ドルをこえ, 3,000万ドル以上のインシデントは30 %となっている。
Ⅲランサムウェア被害の実例
近時注目を集めた被害事例として, 2021年5 月に報道された米国の石油パイプラインの最大手Colonial Pipeline Company (以下「コロニアル社」という。)におけるランサムウェア攻撃が挙げることができる。
同社において, 2021年5月7日,ハッカー集団からランサムウェア「Darkside」による攻撃を受けたことが発覚した。この攻撃は,まさにデータの暗号化と窃取という二重の脅迫型とされており,身代金として75ビットコイン(当時の価値で$4.3 million)の要求をなされた。同社は米国東海岸の燃料消費の半分近くのシェアを占める社会的インフラを担う企業であるところ,このサイバー攻撃を受けてから全てのパイプラインが稼働するまでにおよそ約1週間掛かったとされており,ランサムウェアが引き起こす被害の深刻さが浮き彫りになった。
また,同事案の特筆すべき点として,同社がハッカー集団に身代金を支払った点を挙げることができる。同社のCEOであるJoseph Blount氏は,同年6月8日の上院委員会での証人喚問において,「私は,パイプラインを早期復旧するために利用可能なあらゆるツールを入手すべく身代金を支払うという意思決定を行った(I made the decision that Colonial Pipeline would pay the ransom to have every tool available to us to swiftly get the pipeline back up and running」と述べて,その支払いを認めている[注 3]。
Ⅳランサムウェア増加の背景
経済産業省から2020年12月18日付で注意喚起 (以下「経産省注意喚起」という。)がなされており[注 4],「大企業・中小企業等を問わないランサムウェアによる被害の急増」の背景事情として, RaaS (Ransomware as a Serviceとも呼ばれる,マルウェアの開発者と当該マルウェアを使って攻撃を行う攻撃者などで構成される,ランサムウェアの提供や身代金の回収を組織的に行うエコシステムが成立したことにより,高度な技術を持たなくても簡単に攻撃を行えるケースが増えていることなどが挙げられる」という指摘がなされている。
このRaaSと呼ばれる一種のエコシステムにより,犯罪収益目的の実行犯(Affiliatorともいう。)が増え,その結果,ランサムウェアによるサイバー攻撃が増加しているという背景がある。
Vランサムウェア攻撃を受けた場合の法的留意点
1 OFAC規制
上記の経産省注意喚起において,「国によっては,金銭の支払い行為がテロ等の犯罪組織への資金提供であるとみなされ,金銭の支払いを行った企業に対して制裁が課される可能性もある。」と言及されているところ,米国においては, まさにOFAC規制が身代金の支払いを厳しく規制している。
すなわち,財務省外国資産管理室(The U.S. Department Of the Treasury's Office Of Foreign Assets Control; OFAOは,外国資産管理規則(Foreign Assets Control Regulations に基づいて情報の提供,処罰の決定,違反者への制裁等を管轄する官庁で,同規則に基づいて制定される各種規制がOFAC規制と呼ばれている。2020年10月1日, OFACは,「ランサムウェアの支払いを助長することに関する潜在的制裁リスクについての勧告[注 5]」(Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)を発表し,身代金の支払いについてOFAC規制が発動され得るとの解釈を小した[注 6]。
2 善管注意義務との関係
仮に,身代金の支払いがOFAC規制のようなハッカー集団への身代金の支払いを直接禁ずる法律に抵触しないとしても,身代金相当額の損害が会社に生じる以上,意思決定を下す経営層としては,経営判断原則(business judgement rule)を踏まえつつ,善管注意義務に違反しないかを注意する必要がある。
上述のコロニアル社のCEOであるJoseph Blount氏は,同証人喚問において,身代金を支払ったことに関して「人生で最も大変な意思決定の一つであった(It was one Of the toughest decisions I have had to make in my life) 」 と述べていることからも,その意思決定の重大さが伝わってくる。
3 適時開示との関係
ランサムウェア攻撃については,サイバー攻撃を受けた時点で発生事実として,また,仮に身代金を支払うのであればその意思決定を下した点について決定事実として,適時開小の要否が問題となる。
かっては身代金の要求額が高くなかったため, 決定事実との関係で適時開示が問題になることは少なかったが,上述のとおり昨今では身代金として要求される金額が増額しているため.適時開示の要否に留意する必要が生じている。
4個人情報保護規制との関係
二重の脅迫型のランサムウェア攻撃では企業が保有するデータの窃取を伴うため,窃取されたデータに個人データが含まれている場合には, 各国の個人情報保護規制に沿った対応が必要となる。
欧州におけるGDPRや米国各州で制定されているPrivacy Actにおいては.個人情報の漏えい時に当局への報告及びその期限が既に法律上の義務として制定されている。
他方で,国内の個人情報保護法の下では,個人情報保護委員会への報告は努力義務にすぎなかった。しかし, 2022年4月1日に施行される改正個人情報保護法の下では,一定の場合を除いて同委員会への報告が法律上の義務となり, また,速報及び確報という2段階において報告期限が定められた点に留意が必要となる。
Ⅵ結びに代えて
コロニアル社の事案から分かるとおり,ランサムウェア攻撃は,もはや企業の事業継続を脅かすリスクとなっている。また,その増加背景を踏まえると,「When, not if (発生するかどうかの問題ではなく,発生することを前提としていつ発生するか)」というレベルのリスクとして認識する必要がある。
実際にランサムウェア攻撃を受けた企業のインシデントレスポンスに携わっている筆者の実務経験上,ランサムウェアへの対応は,身代金の支払い期限として指定された短期間での,経営層を中心とした総力戦となる。また,海外の関連会社が被害を受けた際には,留意すべきレギュレーションが増えるため.その対応は更に難易度が上がる。
ランサムウェア攻撃による被害実態と法的留意点の現状整理として本稿が国際法務担当者の一助となれば幸甚である。
注
- ↑ 2020年8月20日独立行政法人情報処理推進機構セキュリテイセンター「事業継続を脅かす新たなランサムウェア攻撃について」(https://www.ipa.go.jp/files/000084974.pdf(魚拓))
- ↑ 2021年8月23日付Barracuda Threat Spotlight (https://www.barracuda.co.jp/threat-spotlight-ransomware-trends/(魚拓))
- ↑ HEARING BEFORE THE UNITED STATES SENATE COMMITTEE ON HOMELAND SECURITY & GOVERNMENTAL AFFAIRS, June 8, 2021. Testimony of Joseph Blount, President and Chief Executive Officer Colonial Pipeline Company (https://www.hsgac.senate.gov/imo/media/doc/Testimony-Blount-2021-06-08.pdf(魚拓))
- ↑ 2020年12月18日経済産業省「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」
- ↑ OFAC,"Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments." Oct 1. 2020. 2 ″https://home.treasury.gov/system/files/126/ofac_ransomware_advisory_10012020_1.pdf(魚拓)
- ↑ 詳細は拙稿「脅迫型サイバー攻撃の現状と企業対応の実務」会社法務A 2Z 2021年4月号を参照されたい
スキャン画像
註釈
リンク
- 機関誌「国際商事法務」2021年 Vol.49, No.10(魚拓) - 国際商事法務研究所