経営判断を迫るサイバー攻撃・ランサムウェアの最新動向について

経営判断を迫るサイバー攻撃・ ランサムウェアの最新動向について(けいえいはんだんをめぐる - こうげき・- のさいんしんどうこうについて)とは、山岡裕明が国際商事法務Vol.49、№10(通巻712号)に連載したコラムである。

概要

国際商事法務研究所(IBL)は、国際ビジネス法の分野における専門情報機関として、法務関連情報を迅速・正確に提供しております。また、国際的な法務センスを備えた人材養成のための法務教育機関としても長年の実績を有し、国際法務関係者の信頼に応えております

本文

Iランサムウェアとは

ランサムウェアによるサイバー攻撃が世界中の企業にとって看過できないリスクとなりつつある。
ランサムウェアとはランサム(身代金)及びマルウェアから成る造語である。
従来ランサムウェアの攻撃手法は,端末内のデータを暗号化して利用できなくさせて,復号 (復旧)の対価として身代金を要求するものであった。
ところが,昨今,ランサムウェアの攻撃手法に変化が見られている。すなわち,従来のデータの暗号化に加えて,端末内のデータを窃取したうえで,データの復号及び非公開の対価として身代金要求するという手法が確認されている (「二重の脅迫」型とも呼ばれている[注 1]。)。

Ⅱランサムウェア攻撃の深刻化

調査[注 2]によると, 2020年8月から2021年7月の間の12ヶ月間で,ランサムウェアによるサイバーインシデントは121件発生しており,前年比で64 %増加している。
また,同調査によると,身代金として要求される金額も高額となっており,1件あたりの平均額は1 ,000万ドルをこえ, 3,000万ドル以上のインシデントは30 %となっている。

Ⅲランサムウェア被害の実例

近時注目を集めた被害事例として, 2021年5 月に報道された米国の石油パイプラインの最大手Colonial Pipeline Company (以下「コロニアル社」という。)におけるランサムウェア攻撃が挙げることができる。
同社において, 2021年5月7日,ハッカー集団からランサムウェア「Darkside」による攻撃を受けたことが発覚した。この攻撃は,まさにデータの暗号化と窃取という二重の脅迫型とされており,身代金として75ビットコイン(当時の価値で$4.3 million)の要求をなされた。同社は米国東海岸の燃料消費の半分近くのシェアを占める社会的インフラを担う企業であるところ,このサイバー攻撃を受けてから全てのパイプラインが稼働するまでにおよそ約1週間掛かったとされており,ランサムウェアが引き起こす被害の深刻さが浮き彫りになった。
また,同事案の特筆すべき点として,同社がハッカー集団に身代金を支払った点を挙げることができる。同社のCEOであるJoseph Blount氏は,同年6月8日の上院委員会での証人喚問において,「私は,パイプラインを早期復旧するために利用可能なあらゆるツールを入手すべく身代金を支払うという意思決定を行った(I made the decision that Colonial Pipeline would pay the ransom to have every tool available to us to swiftly get the pipeline back up and running」と述べて,その支払いを認めている[注 3]

Ⅳランサムウェア増加の背景

経済産業省から2020年12月18日付で注意喚起 (以下「経産省注意喚起」という。)がなされており[注 4],「大企業・中小企業等を問わないランサムウェアによる被害の急増」の背景事情として, RaaS (Ransomware as a Serviceとも呼ばれる,マルウェアの開発者と当該マルウェアを使って攻撃を行う攻撃者などで構成される,ランサムウェアの提供や身代金の回収を組織的に行うエコシステムが成立したことにより,高度な技術を持たなくても簡単に攻撃を行えるケースが増えていることなどが挙げられる」という指摘がなされている。
このRaaSと呼ばれる一種のエコシステムにより,犯罪収益目的の実行犯(Affiliatorともいう。)が増え,その結果,ランサムウェアによるサイバー攻撃が増加しているという背景がある。

Vランサムウェア攻撃を受けた場合の法的留意点

1 OFAC規制

上記の経産省注意喚起において,「国によっては,金銭の支払い行為がテロ等の犯罪組織への資金提供であるとみなされ,金銭の支払いを行った企業に対して制裁が課される可能性もある。」と言及されているところ,米国においては, まさにOFAC規制が身代金の支払いを厳しく規制している。
すなわち,財務省外国資産管理室(The U.S. Department Of the Treasury's Office Of Foreign Assets Control; OFAOは,外国資産管理規則(Foreign Assets Control Regulations に基づいて情報の提供,処罰の決定,違反者への制裁等を管轄する官庁で,同規則に基づいて制定される各種規制がOFAC規制と呼ばれている。2020年10月1日, OFACは,「ランサムウェアの支払いを助長することに関する潜在的制裁リスクについての勧告[注 5]」(Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)を発表し,身代金の支払いについてOFAC規制が発動され得るとの解釈を小した[注 6]

2 善管注意義務との関係

仮に,身代金の支払いがOFAC規制のようなハッカー集団への身代金の支払いを直接禁ずる法律に抵触しないとしても,身代金相当額の損害が会社に生じる以上,意思決定を下す経営層としては,経営判断原則(business judgement rule)を踏まえつつ,善管注意義務に違反しないかを注意する必要がある。
上述のコロニアル社のCEOであるJoseph Blount氏は,同証人喚問において,身代金を支払ったことに関して「人生で最も大変な意思決定の一つであった(It was one Of the toughest decisions I have had to make in my life) 」 と述べていることからも,その意思決定の重大さが伝わってくる。

3 適時開示との関係

ランサムウェア攻撃については,サイバー攻撃を受けた時点で発生事実として,また,仮に身代金を支払うのであればその意思決定を下した点について決定事実として,適時開小の要否が問題となる。 <bt> かっては身代金の要求額が高くなかったため, 決定事実との関係で適時開示が問題になることは少なかったが,上述のとおり昨今では身代金として要求される金額が増額しているため.適時開示の要否に留意する必要が生じている。

4個人情報保護規制との関係

二重の脅迫型のランサムウェア攻撃では企業が保有するデータの窃取を伴うため,窃取されたデータに個人データが含まれている場合には, 各国の個人情報保護規制に沿った対応が必要となる。
欧州におけるGDPRや米国各州で制定されているPrivacy Actにおいては.個人情報の漏えい時に当局への報告及びその期限が既に法律上の義務として制定されている。
他方で,国内の個人情報保護法の下では,個人情報保護委員会への報告は努力義務にすぎなかった。しかし, 2022年4月1日に施行される改正個人情報保護法の下では,一定の場合を除いて同委員会への報告が法律上の義務となり, また,速報及び確報という2段階において報告期限が定められた点に留意が必要となる。

Ⅵ結びに代えて

コロニアル社の事案から分かるとおり,ランサムウェア攻撃は,もはや企業の事業継続を脅かすリスクとなっている。また,その増加背景を踏まえると,「When, not if (発生するかどうかの問題ではなく,発生することを前提としていつ発生するか)」というレベルのリスクとして認識する必要がある。
実際にランサムウェア攻撃を受けた企業のインシデントレスポンスに携わっている筆者の実務経験上,ランサムウェアへの対応は,身代金の支払い期限として指定された短期間での,経営層を中心とした総力戦となる。また,海外の関連会社が被害を受けた際には,留意すべきレギュレーションが増えるため.その対応は更に難易度が上がる。
ランサムウェア攻撃による被害実態と法的留意点の現状整理として本稿が国際法務担当者の一助となれば幸甚である。

  1. 2020年8月20日独立行政法人情報処理推進機構セキュリテイセンター「事業継続を脅かす新たなランサムウェア攻撃について」(https://www.ipa.go.jp/files/000084974.pdf(魚拓))
  2. 2021年8月23日付Barracuda Threat Spotlight (https://www.barracuda.co.jp/threat-spotlight-ransomware-trends/(魚拓))
  3. HEARING BEFORE THE UNITED STATES SENATE COMMITTEE ON HOMELAND SECURITY & GOVERNMENTAL AFFAIRS, June 8, 2021. Testimony of Joseph Blount, President and Chief Executive Officer Colonial Pipeline Company (https://www.hsgac.senate.gov/imo/media/doc/Testimony-Blount-2021-06-08.pdf(魚拓))
  4. 2020年12月18日経済産業省「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」
  5. OFAC,"Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments." Oct 1. 2020. 2 ″https://home.treasury.gov/system/files/126/ofac_ransomware_advisory_10012020_1.pdf(魚拓)
  6. 詳細は拙稿「脅迫型サイバー攻撃の現状と企業対応の実務」会社法務A 2Z 2021年4月号を参照されたい

スキャン画像

註釈

リンク

関連項目

山岡裕明
一覧 法律事務所クロス - 八雲法律事務所 - 経歴(八雲法律事務所設立後) - 記事・著作
関連する人物 唐澤貴洋 - 山本祥平 - 渡邊恵美 - 小田原潔- 山口貴士 - 中島博之 - 杉本賢太 - 千葉哲也 - 阿部通子 - 町田力 - 柏原陽平 - 畔柳泰成- 田村祥一 - 長野英樹 - 菊地康太 - 小林尚通 - 笠置泰平 - 星野悠樹 - 上野浩理 - 大友雅則 - 村田和希 -井上拓 - 髙間裕貴 - 片岡弘
関連する団体 三田国際学園 - ネットリテラシー検定機構 - デジタルフォレンジック研究会- ゲーミング法制協議会 -情報ネットワーク法学会
依頼人 フジテックス - サイモントン療法協会 - 大橋清貫 - 中野江古田病院 - 伝創社 - 日本ハッカー協会 - Amazon規約違反者 -ドラゴンコンサルティング - 木下喬弘(手を洗う救急医Taka )
記事 銀行実務 - 日本経済新聞 - 著作権、無自覚の侵害が問題(日経) - 漫画サバイバル(日経) - 法とコンピュータ

サイバーセキュリティと企業法務(1)(2)(3)(4) - 経営者の喫緊の課題 新たなサイバーリスクへの向き合い方(ビジネス法務/中央経済社) - 中央ロー・ジャーナル - 米国におけるサイバーセキュリティ法制と訴訟リスクの検討(上) (下) (ビジネス法務/中央経済社) - サイバーインシデント発生時の初動対応・再発防止策(ビジネス法務/中央経済社) - サイバーインシデント対応における再発防止策の構築(ビジネス法務/中央経済社) - ECサイトからのクレジットカード情報漏えい事案における法的留意点(上) (下)(ビジネス法務/中央経済社)
IT関連の最新動向と法務リスク(会社法務A2Z) - 脅迫型サイバー攻撃の現状と企業対応の実務(会社法務A2Z) - ランサムウェアによる脅迫型サイバー攻撃に対する実務最前線(会社法務A2Z)
インターネットを利用した業務妨害(ICHIBEN Bulletin) - 「IT嫌い」「IT初心者」(!?)のための サイバーセキュリティ入門 ~14のQ&A~ (ICHIBEN Bulletin)
サイバーセキュリティリスクに備える契約上の留意点~秘密情報の開示・漏えいの取り扱い~(旬間経理情報) - サイバー保険の概要と加入に際しての検討事項(旬間経理情報)
インターネット業務妨害に対する米国の証拠開示制度の活用(自由と正義)- 経営判断を迫るサイバー攻撃・ランサムウェアの最新動向について(国際商事法務) - サイバー不正の世界的脅威と日本企業の現状 〜ランサムウエアなど不正対策の最前線を聞く(ACFE JAPAN) - 西田弁護士インタビュー - マルウェア感染により信用組合が負う法的リスク(しんくみ) - 新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か? - 競争法における「サイバーセキュリティの確保」の要請(ぎょうせい) - 金融機関とサイバーセキュリティ 第1回 内部不正による個人情報漏えい(しんくみ)

著作 デジタル法務の実務Q&A(日本加除出版) - 情報セキュリティQ&A45(日本経済新聞出版社) - インターネット権利侵害者の調査マニュアル(ビジネス法務/中央経済社) - 業種別にわかるデータ保護・活用の法務Q&A(ビジネス法務/中央経済社) - 法律実務のためのデジタル・フォレンジックとサイバーセキュリティ(株式会社商事法務) - 金融デジタライゼーション時代の サイバーセキュリティ早わかり講座(銀行研修社)
事件・騒動 唐澤貴洋と山岡裕明のご尊容開示事件 - 巨人山口顧問弁護士なりすまし事件 - 投票所襲撃メール - 石崎敦子
裁判 平成27年(ワ)8441号安藤良太) -平成27年(ワ)第33589号(サイモントン療法協会) -東京地方裁判所 平成28年(ワ)第38586号アマギフ裁判) -平成31年(ワ)第2422号(ドラゴンコンサルティング) - 令和元年(ワ)第33533号LGBT: ~言論を破壊するものたち~) - 令和2年(ワ)第1667号(アドエイト) - 令和2年(ワ)第22414号令和3年(ワ)第9794号(中野江古田病院) - 令和3年(ワ)第6410号(NTTコミュニケーションズ)令和3年第(ワ)12332号(NTTドコモ)(尻穴まで洗う救急医Baka)
二次設定・創作 メスイキ(18禁)