サイバーインシデント発生時の初動対応・再発防止策
サイバーインシデント発生時の初動対応・再発防止策(-はっせいじ-しょどうたいおう-さいはつぼうしさく)とは、八雲法律事務所に所属する山岡裕明と千葉哲也が雑誌「ビジネス法務2021年9月号」に寄稿したコラムである。
概要
正式名称は「◆急増中のランサムウェアの事例をふまえた サイバーインシデント発生時の初動対応・再発防止策」であるが、八雲法律事務所の記載[1]に準じた表題とする。
2021年9月号のビジネス法務には。2021年3月の「自由と正義」特集記事インターネット業務妨害の現状と対策にも寄稿した斎藤悠貴弁護士も、自作を更に発展させた「訴訟当事者の秘密保護に向けた対策」を寄稿している。
余白には中央経済社が刊行した山岡の共著「業種別にわかるデータ保護・活用の法務Q&A」と八雲法律事務所の著作である「インターネット権利侵害者の調査マニュアル」の広告が掲載されている。
本文
山岡裕明(Yamaoka Hiroaki) 八雲法律事務所, 代表弁護士・情報処理安全確保支援士。内閣サイバーセキュリティセンターSWGタスクフォースメンバー(2019~202),カリフォルニア大学バークレー校客員研究員(2019~)。
千葉哲也(Chiba Tetsuya) 八雲法律事務所, 弁護士・情報処理安全確保支援士。情報法を専門とし,企業のサイバーセキュリティ対応,知的財産紛浄,システム紛浄,ドメイン紛争を中心に扱う。
昨今急増するサイバー攻撃について, 法律事務所はもはや無縁ではない。 むしろ, 直接標的となっていた企業がそのセキュリティ レベルを高めるにつれ, セキュリティ対策が遅れている法律事務所は格好の標的となっている。 本稿では, サイバーインシデント対応を専門とする筆者らの実務経験をふまえ, 昨今急増しているランサムウェアの事例をべースに, その初動対応および再発防止のポイントを紹介する。
Ⅰはじめに
法律事務所は,法律業務の過程においてクライアント企業から多くの機密情報を受領している。 攻撃者の視点からすれば, クライアント企業と法律事務所とが同じ内容の機密情報を保有している場合に,セキュリティレベルが相対的に低い法律事務所を標的とするのは合理的といえる。
このことは, 早くから法律事務所がサイバー攻撃の標的となっていた米国において顕著であり,「ニューヨーク,そして世界の金融機関が強固になるにつれ, ハッカーは法律事務所を攻撃する。 法律事務所は, はるかに容易な狩場だからだ」[注 1]「法律事務所は,情報セキュリティチェーンにおいて,最弱の部分である。 したがって, ハッカーにとっては,目の前にある果実にほかならない」[注 2]などと評されてきた。
実際に米国では,2016年,M&A案件を扱う大手法律事務所がサイバー攻撃を受けて大量のデータが窃取された。 報道によれば, 犯人グループは, 盗み出した複数の発表前のM&A案件に関する情報を悪用して株式を購入し,400万ドル(4億7000万円)の利益を不正に取得したとされる[注 3]。
法律事務所が以上のようなセキュリティリスクに晒されていることを念頭に, 法律事務所の経営者として, 積極的にセキュリティ対策を講じる必要があることはもちろんであるが,万が一リスクが顕在化した場合に備えて,代表的な対応フローを把握しておくことは有用である。
Ⅱメールによるランサムウェア感染事例
【本件の概要】 ある日, 法律事務所で勤務している弁護士Aは,クライアント企業の担当者と同じメールアドレスを差出人とするメールを受信した。 そのメールは,3日前に当該担当者に送信したメールに返信するような形式 となっており,「おはようございます。 添付ファイルのご確認よろしくお願いいたします」 と短い文章が記載され, Wordファイルが添付されてした。思い当たる案件もなく唐突なメール内容であったため不審に思いはしたものの, Wordファイルを開き,「セキュリティの警告」 表示が出たが 「コンテンツの有効化」 をクリックした。 Wordファイルの内容は英語で記載されていて,内容がよくわからず, 送り間違いかと思いファイルを閉じて放置した。 同日, 弁護士AのPC内のデータに加え法律事務所のファイル共有サーバ内の事件記録に関する電子データがすべて閲覧できなくなるという事案が発生した。 当該サーバ内のフォルダを確認すると,「保存されていた電子データはすべて暗号化した」,「暗号化を解除するには48時間以内に30,000ドルをビットコインで支払え。 期限内に支払わない場合は, 窃取したデータを公開する」といった内容が記載されたファイルが見つかり,サイバー攻撃を受けたことが判明した。
1概説
本件のサイバーインシデントは標的型メール攻撃を受け,ランサムウェアにより法律事務所のPCおよびファイル共有サーバ内の電子データが暗号化されるとともに, 当該電子データが窃取された可能性があるという事案である。
調査結果によると[注 4],サイバーインシデント発生の9割がメールによる攻撃から始まっており,ランサムウェアによる被害もメールを起点とするものが実務上多い印象である。
ランサムウェアとは 「ランサム」(身代金)十 「マルウェア」 の造語である。 従来のランサム ウェアは, 感染したPCやサーバ内の電子データを暗号化させて,復旧(復号化)と引き換えに身代金の支払を被害者に要求するものであった。昨今のランサムウェアはさらに進化して, 電子データを暗号化する機能に加え,電子データを窃取する機能をも実装している。 暗号化した電子データの復旧に加え,窃取した電子データを公開されたくなければ身代金を支払うよう要求する点で,「二重の脅迫」と呼ばれている[注 5]。
法律事務所がサイバー攻撃の標的となっていることについては上述のとおりであるが,実際,2019年に国内の法律事務所がランサムウェアに感染し,保有していたデータが外部に流出した可能性があるといった事案が発生している。 この事案がメール攻撃で発生したかどうかは明らかにされてないが, 同様の被害はメール攻撃からも十分発生し得るものであり, 法律事務所としてもこの種のインシデントに対してどのような対応をとればよいかを把握しておく必要がある。
2インシデント対応
(1)フォレンジック調査
サイバーインシデントが発生した際には,被害内容の確認や被害拡大防止の観点から適切な初動対応を行うことが求められる。
そこで, 実施されるのがフォレンジック調査である。 交通事故で例えると,ドライブレコーダーや事故現場のタイヤ痕といった客観的な証拠に基づいて交通事故の事実関係を調査するように, 被害に遭ったPCやネットワーク機器に残るデジタル情報に基づいてセキュリティ事故の事実関係の調査を行い, 調査報告書が作成される。
フォレンジック調査を行うことで, どのメールがサイバーインシデントの発生起点となっていたという事故の原因や, ランサムウェアに感染後, どのような情報が窃取された可能性があるのかといった被害範囲に関する情報が一定程度明らかになる。
また,ランサムウェアの種類によっては暗号化されたデータを復旧(復号化)できることもある。
(2) 個人情報保護委員会への対応
本件では, ランサムウェアに感染して,電子データの暗号化に加え, 電子データが窃取されていた可能性がある。 そして,法律事務所が保有する電子データには個人情報が含まれることが多い。 そのため,フォ レンジック調査の結果から情報漏えいのおそれが判明した際には,発生原因,漏えいした可能性のある情報の,種類や件数を確認し,個人情報保護委員会へ報告することとなる。
なお,現行法上は上記の報告は努力義務であるが,2020年6月の個人情報保護法の改正により,サイバー攻撃を原因として個人データが漏えいした場合には,個人情報保護委員会への報告が義務づけられる予定とされており, 報告義務違反者には,勧告や命令が出せる規定,命令違反者に対する罰金刑の罰則規定が新たに設けられることとなった。
2022年4月1日に改正法が施行されることから,サイバーインシデントによる個人情報の漏えいやそのおそれがある事案におけるインシデント対応として,上記の個人情報保護委員会への報告は今後原則として必須となる。
(3)関係者への通知および公表
フォレンジック調査の結果, 個人情報や企業クライアントの機密情報の漏えいのおそれが確認された場合, 被害拡大や二次被害防止の観点から, 漏えいした情報の当事者への通知や公表による情報開示を検討することとなる。
漏えい対象が個人情報の場合, 前述した個人情報保護委員会への報告と同様に, 各個人への通知および公表は, 本稿執筆時 (2021年6月9日)において個人情報保護法上は義務づけられておらず, 告示において, 通知および公表することが 「望ましい」 とされているに過ぎない。
企業クライアントから受領した情報の場合は,NDAの対象となっていることもあり,契約上の義務として漏えい時の報告義務が課せられていることが少なくない。
いずれの場合であっても,留意すべきは通知および公表のタイミング,そしてその内容である。 早期に開示することは二次被害防止に資する。しかし,開示する情報が不足していたり, 不正確であったりすると, 被害者の混乱を招きかねず,信頼関係をさらに低下させる事態にもなりかねない。 そのため,開示するタイミングおよびその内容は, 被害拡大防止の観点および被害者との信頼関係回復の観点をふまえ, 慎重に検討する必要がある。
3 予防・再発防止策の視点
メール攻撃のような外部からの攻撃への対策には,さまざまな種類があり,セキュリティ製品も多数販売されている。 以下においては,本件のような外部からのサイバー攻撃への基本的なセキュリティ対策, かつ, 小規模な法律事務所でも現実的に講じることが可能な対策の一部を紹介する (ツール等の具体例は高橋稿をご覧いただきたい)。
(1)ファイアウォール
法律事務所内部のネットワークとインターネットを接続している場合, その間にファイアウォールを設置することで,外部から内部への不正な通信を一定程度防止することが可能となる。
また, ファイアウォールをすり抜けてネットワーク 内に侵入 したマルウェアは, 別の機能を持つマルウェアをダウンロードしたり,窃取したファイルを外部に送信すべく,外部のC&Cサーバ(コマンド&コントロールサーバの略で,マルウェアに指令を出すサーバ)に向けて行う通信を行うので,この内部から外部への不正な通信 (コネクトバック通信)を遮断することも可能となる。
ただし, ファイアウォールの設置により外部と内部の不正な通信をすべて遮断できるわけではなく,本件のようなメールを利用した攻撃では,メールに関する通信をファイアウォールが正常な通信と判 断し, マルウェア添付のメールが内部ネッ トワークに届いてしまう場合がある。
(2)アンチウイルスソフト
PCにアンチウイルスソフトをインストールすることで,マルウェアの感染を防ぐことが一定程度可能となる。 最新のPCであればアンチウイルスソフトが標準搭載されているものもある。 新しいPCを法律事務所内部のネットワークに繋いで使用する場合,アンチウイルスソフトの搭載の有無を確認し,搭載されていないようであればインストールをしたうえで内部ネットワークに接続するべきである。
本件のようなメール攻撃においては,添付ファイルを開いた時点で,アンチウイルスソフトがマルウェアを検知し,マルウェアを駆除する場合もある。
アンチウイルスソフトでは,主に,あらかじめデータベースに登録されたマルウェアの特徴が検査対象に合致するかどうかでマルウェアを判別するパターンマッチングという方法を採用している。 そのため,マルウェアの特徴が記載されたパターンファイルが古いまま更新されていないと,最新のマルウェアを検知できなくなる。 アンチウイルスソフトはインストールするだけでなく,パターンファイルが自動的に,かつ, 短い期間で定期的に更新がなされるよう設定をしておくことが肝要である。
(3) EDR(Endpoint Detection and Response)
EDRは,アンチウイルスソフトと同様にPC等の端末をチェックするセキュリティツールの1つである。 アンチウイルスソフトがマルウェア感染の防止を主目的とするのに対し, EDRはマルウェア感染後の被害拡大防止を主目的としている。
大まかな機能としては, PC等の端末の動作情報 (プロセスの挙動, ネットワーク通信の情報等)を分析し,端末の異常な動作からマルウェア感染や不正アクセスを検知し,不正なプロセスの停止, 端末の隔離等の措置を行うというものである。
本件のようなメール攻撃については,ランサムウェアが内部ネットワークを偵察・調査をする挙動,電子データを外部に送信する挙動といった不自然な挙動をEDRが検知し,アラート通知を出す。その結果, 利用者はPCをネットワークから切り離すなどの措置をすることで,ランサムウェアの感染範囲の拡大を防止することが可能となる。
上述したとおり,ファイアウォールを設置していてもマルウェア感染を目的と した不正な通信を完全に防ぐことはできず,また,アンチウイ ルスソフトを導入していても,パターンファイ ルに登録されていない最新のマルウェア等であれば検知することができない。そのため,マルウェア感染を完全に防止することは困難であることを前提とした対策が必要であり,アンチウイルスソフトに加えてEDRを導入することは,サイバーインシデントへの対策として有効といえる。
なお,このように第一層が破られても第二層で防ぎ,第二層が破られても第三層で防ぐ,というように複層的にセキュリティ対策を行うことはdefense in depth(多層防御)と呼ばれ, 軍事防御戦略に由来する。
(4)周知・教育
前述した技術的な対策をいくらとったとしても,人的な要因で容易にサイバーインシデントは発生し得る。そのため,法律事務所に勤務する弁護士や秘書,事務員に対してサイバーインシデントに関する情報の周知,セキュリティ教育を行うことは,技術的な対策と同程度に有効な対策といえる。
本件でいえば, 最近なりすましメールが流行していること,なりすましメールの特徴として,従前のメールに返信する形で作成されているが,本文がなく添付ファイルのみであるとか, 本文の日本語がおかしい, 脈絡のない内容であるといったものがあること,といった情報が周知されていれば,弁護士Aとしてもサイバー攻撃への予見可能性が高まり,マルウェアが添付されたメールの唐突な内容を不審に思うだけでなく, サイバー攻撃の可能性に気づいて被害を未然に防止できた可能性がある。
(5)サイバー保険
サイバー保険も, サイバーインシデントへの対策として有効である。
サイバーインシデント発生により情報が漏えいした際に,個人情報であれば被害者たる個人から,企業情報であればNDA違反を理由に企業クライアントから損害賠償請求を受けることもあり得るが, その際の賠償金をサイバー保険でカバーすることが可能となる。
また,筆者らの経験上,フオレンジック調査には最低でも数百万円,場合によっては数千万円の費用がかかる。サイバー保険に加入していればフォレンジック調査にかかる費用も保険金でカバーできる。 加えて, インシデント対応に要した諸経費(人件費や交通費)および暗号化されたデータの復旧費用もプランによっては保険金でカバーできる。
サイバーインシデント発生により,顧客の信頼低下,それに伴う利益喪失等の経済的損失が想定されるなか,被害者への賠償や費用負担などの経済的損失も加わると法律事務所の経営に大きく影響しかねない。 サイバーインシデント発生により受ける経済的損失を少なくできるサイバー保険への加入は,サイバーインシデント発生に対する対策として最も簡易かつ効果的な対策ともいえる。
すでに弁護士賠償保険に加入している場合は,1人あたり数万円上乗せするだけで,十分なサイバー保険特約を付加できるので,非常に有用な対策である。
注
- ↑ "Some NY Law Firm Reps Said to Be Clueless as FBI Warned of Hackers Seeking Corporate Data"BY DEBRA CASSENS WEISShttps://www.abajournal.com/news/article/some_ny_law_firm_reps_said_to_be_clueless_as_fbi_warned_of_hackers_seeking_(魚拓)
- ↑ "The Journal of Law and Technology at Texas VOLUME 1"http://jolttx.com/wp-content/uploads/2018/04/2018-JOLTT-Volume-1.1.pdf(魚拓)
- ↑ "Man Made Millions by Hacking Merger Lawyers, U.S.Says"https://www.nytimes.com/2016/12/27/business/dealbook/new-york-hacking-law-firms-insider-trading.html(魚拓)
- ↑ 「『進化』20年 偽メール猛威, 攻撃入り口の9割に」 日本経済新聞5月21日。
- ↑ 独立行政法人情報処理推進機構 「【注意喚起】 事業継続を脅かす新たなランサムウエア攻撃について」https://www.ipa.go.jp/security/announce/2020-ransom.html(魚拓)
関連項目
脚注
- ↑ 弁護士紹介 千葉哲也(魚拓) - 八雲法律事務所