脅迫型サイバー攻撃の現状と企業対応の実務

会社法務A2Z > 脅迫型サイバー攻撃の現状と企業対応の実務

脅迫型サイバー攻撃の現状と企業対応の実務とは(きょうはくがた-こうげきのげんじょうときぎょうたいおうのじつむ)とは、山岡裕明が「会社法A2Z」2021年5月号に連載したコラムである[1]

概要

 
新井弁護士

山岡と新井敏之弁護士との共同執筆である。

新井敏之弁護士について

新井弁護士はポールヘイスティングス法律事務所のパートナー弁護士[2]。で、東京オフィスの代表を務めている。東京大学経済学部経済学士号と東京大学経済学部経営学士号を取得しており、カリフォルニア州の弁護士資格も取得している。特に、インターネット関連産業及びテレビ用ディスプレイ製品等のテクノロジー分野におけるクロスボーダーの売却及びジョイント・ベンチャー、並びに金融、保険及びエンターテイメント等の分野における不良資産処理及び倒産手続にかかる事案で活躍している。第二東京弁護士会所属、弁護士番号19444。

本文

1.サイバー攻撃に伴う身代金の要求の増加の背景

(1)ランサムウェアとは

サイバー攻撃により被害を受けた企業が、ハッカーから身代金として金員の支払を要求される事例が増えています。 代表例としてランサムウェアによる攻撃があります。ランサムウェアとはランサム(身代金)およびマルウェアからなる造語です。 二〇一七年五月に世界中で流行したランサムウェアの一種であるWannaCry(別名WannaCryptor)は記憶に新しいと思います。 図表1は、WannaCryに感染した端末の画面です。この画面からわかるとおり、WannaCryに感染すると端末のファイルが暗号化されて利用できなくなります。それに併せて脅迫文が表示され、一定時間内に身代金をビットコインで支払うよう要求されます。 このように、従来ランサムウェアの攻撃手法は、端末内のデータを暗号化して利用できなくさせ、複号(復旧)の対価として身代金(ランサム)を要求するものでした(以下「暗号型」といいます)。 ところが、昨今では、ランサムウェアの攻撃手法に変化がみられます。すなわち、従来のデータの暗号化に加えて、端末内のデータを窃取したうえで、身代金を支払わなければデータを公開するという脅迫をする手法が確認されています(以下「窃取型」といいます)。 図表2は、Mazeというランサムウェアによる攻撃により企業から摂取されたデータが一部公開されているリークサイトです。 上部に「1% published」という記載があり、その下に「近い将来この企業の情報をリリースする準備ができている」(A press release will be prepared for this company in the nera future)という記載が確認できます。このことから、Mazeによりデータを窃取したハッカーは、被害企業に対して、データの一%分をリークサイト上で公開して脅迫内容が虚偽でないことを示しつつ、残る九九%のデータを公開されたくなければ身代金を支払うよう要求していることがわかります。 また、この暗号型と窃取型とを合わせた攻撃手法、すなわち、ランサムウェアにより暗号化したデータを複合する多衛野身代金の要求に加え、暗号化する前にデータを窃取しておき、支払わなければデータを公開する等と脅迫する攻撃手法もあり、これは「二重の脅迫」とも呼ばれています(注1)(以下「二重の脅迫型」といいます)。

暗号型、窃取型、または二重の脅迫型のいずれであれ、攻撃者は被害企業が金銭を支払わざるを得ない状況を作り出している点で、確実に、かつ高額な身代金を得ようという金銭目的でのサイバー攻撃であることが推察されます。

(2)急増するランサムウェアによる被害

ランサムウェアの被害状況をみると、日本のITセキュリティ担当者二〇〇名を対象とした調査において、半数を超える五二%が過去一二カ月間でランサムウェアによるサイバー攻撃を受けたと回答しています(注2)。

では、ランサムウェアによる被害は大企業に限られるのでしょうか。二六ヵ国、五〇〇〇人のIT管理者を対象とした調査によると、小規模な組織(一〇〇~一〇〇〇人の従業員)の半数弱(四七%)が、また大規模な組織(一〇〇一~五〇〇〇人の従業員)の半数強(五四%)が攻撃を受けています(注3)。

また、経済産業者からも注意喚起(以下「経産省注意喚起」といいます)がなされており(注4)、その中で、「大企業・中小企業等を問わないランサムウェアによる被害の急増」と指摘されています。急増の理由として「RaaS (Ransomeware as a Service)とも呼ばれる、マルウェアの開発者と当該マルウェアを使って攻撃を行う攻撃者などで構成される、ランサムウェアの提供や身代金の回収を組織的に行うエコシステムが成立したことにより、高度な技術を持たなくても簡単に攻撃を行えるケースが増えていることなどが挙げられる」という指摘がなされています。また、ランサムウェアによる攻撃が前記のとおり金銭目的と推察される以上、攻撃の対象は大企業である必要はなく、むしろセキュリティ体制が比較的不十分な中手御企業の方が攻撃対象になりやすいともいえます。

なお、次頁図表3によると、日本企業のランサムウェアによる復旧コスト(復旧に要する人件費、逸失利益を含む)は世界第二位で、その額は二一九万四緑〇〇米ドル(約二億二八〇〇万円)という調査結果もあります。

以上を踏まえると、規模を問わずあらゆる企業がランサムウェアを利用したサイバー攻撃のリスクに晒されており、そのリスクが顕在化した場合の被害額は決して小さくないことががわかるかと思います。

(3)対応上の留意点

では、企業として、ランサムウェアによるサイバー攻撃についてどのような点に留意すべきでしょうか。サイバー攻撃を防ぐための技術来てな対策とは別に、ランサムウェアには特有の論点、すなわち、身代金を支払うべきか否かという点が生じます。ランサムウェアの事案においては、他のサイバー攻撃の事案と異なり、仮にサイバー攻撃を受けても、身代金を支払うことにより損害やリスクを軽減する余地があるからです。

暗号型の場合は、自社の保有するデータ等が暗号化され使えなくなるため事業継続が大きく阻害されます。データ復旧に伴う人件費や外注費に加え、事業継続が阻害されることにより逸失利益が発生したり、場合によっては取引先から履行遅滞に基づく損害賠償請求を受けたり、契約を解除されるというリーガルリスクもあります。

窃取型の場合は、個人情報に係るデータが窃取されうと個人情報保護法上の責任が主生じ、取引先の機密情報が窃取されるとNDA(秘密保持契約)上の機密保持義務違反を問われることになります。

経済的観点だけからみれば、その金額次第では、身代金を支払わない場合に想定されるコストやリスクと比べて、身代金を支払うことが合理的といえる場合もあろうかと思います。実際に、ランサムウェア攻撃を受けた日本企業のうち三一%が身代金を支払ったという調査結果もあります。


スキャン画像

関連項目

脚注

山岡裕明
一覧 法律事務所クロス - 八雲法律事務所 - 経歴(八雲法律事務所設立後) - 記事・著作
関連する人物 唐澤貴洋 - 山本祥平 - 渡邊恵美 - 小田原潔- 山口貴士 - 中島博之 - 杉本賢太 - 千葉哲也 - 阿部通子 - 町田力 - 柏原陽平 - 畔柳泰成- 田村祥一 - 長野英樹 - 菊地康太 - 小林尚通 - 笠置泰平 - 星野悠樹 - 上野浩理 - 大友雅則 - 村田和希 -井上拓 - 髙間裕貴 - 片岡弘
関連する団体 三田国際学園 - ネットリテラシー検定機構 - デジタルフォレンジック研究会- ゲーミング法制協議会 -情報ネットワーク法学会
依頼人 フジテックス - サイモントン療法協会 - 大橋清貫 - 中野江古田病院 - 伝創社 - 日本ハッカー協会 - Amazon規約違反者 -ドラゴンコンサルティング - 木下喬弘(手を洗う救急医Taka )
記事 銀行実務 - 日本経済新聞 - 著作権、無自覚の侵害が問題(日経) - 漫画サバイバル(日経) - 法とコンピュータ

サイバーセキュリティと企業法務(1)(2)(3)(4) - 経営者の喫緊の課題 新たなサイバーリスクへの向き合い方(ビジネス法務/中央経済社) - 中央ロー・ジャーナル - 米国におけるサイバーセキュリティ法制と訴訟リスクの検討(上) (下) (ビジネス法務/中央経済社) - サイバーインシデント発生時の初動対応・再発防止策(ビジネス法務/中央経済社) - サイバーインシデント対応における再発防止策の構築(ビジネス法務/中央経済社) - ECサイトからのクレジットカード情報漏えい事案における法的留意点(上) (下)(ビジネス法務/中央経済社)
IT関連の最新動向と法務リスク(会社法務A2Z) - 脅迫型サイバー攻撃の現状と企業対応の実務(会社法務A2Z) - ランサムウェアによる脅迫型サイバー攻撃に対する実務最前線(会社法務A2Z)
インターネットを利用した業務妨害(ICHIBEN Bulletin) - 「IT嫌い」「IT初心者」(!?)のための サイバーセキュリティ入門 ~14のQ&A~ (ICHIBEN Bulletin)
サイバーセキュリティリスクに備える契約上の留意点~秘密情報の開示・漏えいの取り扱い~(旬間経理情報) - サイバー保険の概要と加入に際しての検討事項(旬間経理情報)
インターネット業務妨害に対する米国の証拠開示制度の活用(自由と正義)- 経営判断を迫るサイバー攻撃・ランサムウェアの最新動向について(国際商事法務) - サイバー不正の世界的脅威と日本企業の現状 〜ランサムウエアなど不正対策の最前線を聞く(ACFE JAPAN) - 西田弁護士インタビュー - マルウェア感染により信用組合が負う法的リスク(しんくみ) - 新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か? - 競争法における「サイバーセキュリティの確保」の要請(ぎょうせい) - 金融機関とサイバーセキュリティ 第1回 内部不正による個人情報漏えい(しんくみ)

著作 デジタル法務の実務Q&A(日本加除出版) - 情報セキュリティQ&A45(日本経済新聞出版社) - インターネット権利侵害者の調査マニュアル(ビジネス法務/中央経済社) - 業種別にわかるデータ保護・活用の法務Q&A(ビジネス法務/中央経済社) - 法律実務のためのデジタル・フォレンジックとサイバーセキュリティ(株式会社商事法務) - 金融デジタライゼーション時代の サイバーセキュリティ早わかり講座(銀行研修社)
事件・騒動 唐澤貴洋と山岡裕明のご尊容開示事件 - 巨人山口顧問弁護士なりすまし事件 - 投票所襲撃メール - 石崎敦子
裁判 平成27年(ワ)8441号安藤良太) -平成27年(ワ)第33589号(サイモントン療法協会) -東京地方裁判所 平成28年(ワ)第38586号アマギフ裁判) -平成31年(ワ)第2422号(ドラゴンコンサルティング) - 令和元年(ワ)第33533号LGBT: ~言論を破壊するものたち~) - 令和2年(ワ)第1667号(アドエイト) - 令和2年(ワ)第22414号令和3年(ワ)第9794号(中野江古田病院) - 令和3年(ワ)第6410号(NTTコミュニケーションズ)令和3年第(ワ)12332号(NTTドコモ)(尻穴まで洗う救急医Baka)
二次設定・創作 メスイキ(18禁)