「マルウェア感染により信用組合が負う法的リスク」の版間の差分
ナビゲーションに移動
検索に移動
編集の要約なし
>唐澤お察し軍団 (→概要) |
>チー二ョ 編集の要約なし |
||
| 3行目: | 3行目: | ||
正式名称は「マルウェア感染により信用組合が負う法的リスク~近時流行するマルウェアの特性を踏まえた法的留意点~」である。 | 正式名称は「マルウェア感染により信用組合が負う法的リスク~近時流行するマルウェアの特性を踏まえた法的留意点~」である。 | ||
「しんくみ」は | 「しんくみ」は {{wpl|一般社団法人全国信用組合中央協会}}が発行する月刊誌である。 | ||
== 本文 == | == 本文 == | ||
| 19行目: | 19行目: | ||
Emotetとは、感染した端末内のメールソフトに記録されていたアドレス帳データやメールの件名・本文情報等(以下「メール情報等」という。)を窃取し、当該メール情報等をもとに、さらに他の端末へEmotetの感染を広げる挙動を持つマルウェアである。 | Emotetとは、感染した端末内のメールソフトに記録されていたアドレス帳データやメールの件名・本文情報等(以下「メール情報等」という。)を窃取し、当該メール情報等をもとに、さらに他の端末へEmotetの感染を広げる挙動を持つマルウェアである。 | ||
Emotetによるサイバー攻撃自体は、2019年ごろに一度、日本国内の企業が相次いで感染被害に遭うことにより話題となった。このとき、独立行政法人情報処理推進機構(IPA)は、「『Emotet(エモテット)』と呼ばれるウイルスへの感染を狙うメールについて」と題するWEBページを公開し、注意喚起を行った(以下「本件注意喚起」という。)。<ref>1 <nowiki>https://www.ipa.go.jp/security/announce/20191202.html</nowiki></ref> | Emotetによるサイバー攻撃自体は、2019年ごろに一度、日本国内の企業が相次いで感染被害に遭うことにより話題となった。このとき、独立行政法人情報処理推進機構(IPA)は、「『Emotet(エモテット)』と呼ばれるウイルスへの感染を狙うメールについて」と題するWEBページを公開し、注意喚起を行った(以下「本件注意喚起」という。)。<ref group="注"><!--1--> <nowiki>https://www.ipa.go.jp/security/announce/20191202.html</nowiki></ref> | ||
その後、2021年1月のEUROPOL(欧州刑事警察機構)によるEmotetのボットネット(Emotetをダウンロードさせるファイルが添付されたメール〔攻撃メール〕をばらまいたり、感染した端末を操作するための機器等)のテイクダウン(停止)により、Emotetの流行は終息したかに思われた。 | その後、2021年1月のEUROPOL(欧州刑事警察機構)によるEmotetのボットネット(Emotetをダウンロードさせるファイルが添付されたメール〔攻撃メール〕をばらまいたり、感染した端末を操作するための機器等)のテイクダウン(停止)により、Emotetの流行は終息したかに思われた。 | ||
しかし、2021年末より、Emotetの感染が再び拡大している。このような状況に対応すべく、 IPAは、本件注意喚起を更新し、日本企業に対して改めて注意を喚起している。<ref>2 本稿執筆時点での最終更新は、2022年4月26日。 なお、2022年4月1日付け「情報セキュリティ安心相談窓口の相談状況[2022年] 第1四半期(1月~3月)」によれば、2022年1月から3月の間に、656件のEmotetに関する相談があったことが報告されている(<nowiki>https://www.ipa.go.jp/security/txt/2022/q1outline.html</nowiki>)。</ref> | しかし、2021年末より、Emotetの感染が再び拡大している。このような状況に対応すべく、 IPAは、本件注意喚起を更新し、日本企業に対して改めて注意を喚起している。<ref group="注"><!--2--> 本稿執筆時点での最終更新は、2022年4月26日。 なお、2022年4月1日付け「情報セキュリティ安心相談窓口の相談状況[2022年] 第1四半期(1月~3月)」によれば、2022年1月から3月の間に、656件のEmotetに関する相談があったことが報告されている(<nowiki>https://www.ipa.go.jp/security/txt/2022/q1outline.html</nowiki>)。</ref> | ||
本件注意喚起では、実際に送信されたEmotetの攻撃メールを引用しながら、Emotetによるサイバー攻撃の手法の一例が紹介されているが、詳細については、概ね以下のとおりである。 | 本件注意喚起では、実際に送信されたEmotetの攻撃メールを引用しながら、Emotetによるサイバー攻撃の手法の一例が紹介されているが、詳細については、概ね以下のとおりである。 | ||
[[ファイル:Emotet感染の流れ.jpeg|500px|left|図1:Emotet感染の流れ|thumb]] | |||
① 攻撃者が、対象者 (X社)に対し、攻撃メールを送信する。<br> | ① 攻撃者が、対象者 (X社)に対し、攻撃メールを送信する。<br> | ||
② 攻撃メールを受領したX社の担当者が、添付ファイルを開き、マクロ (プログラム)を実行することで、使用端末がEmotetに感染する。<br> | ② 攻撃メールを受領したX社の担当者が、添付ファイルを開き、マクロ (プログラム)を実行することで、使用端末がEmotetに感染する。<br> | ||
| 34行目: | 34行目: | ||
Emotetの攻撃メールでは、実際に当事者間でやりとりされたメールが使用される場合があるなど、一見してEmotetの攻撃メールであることが分からないように巧妙な偽装がなされている。これが、Emotetが猛威を振るう一因となっている。 | Emotetの攻撃メールでは、実際に当事者間でやりとりされたメールが使用される場合があるなど、一見してEmotetの攻撃メールであることが分からないように巧妙な偽装がなされている。これが、Emotetが猛威を振るう一因となっている。 | ||
==== (2) Emotet感染により生じる法的責任 ==== | ==== (2) Emotet感染により生じる法的責任 ==== | ||
| 40行目: | 41行目: | ||
上述のとおり、IPAの本件注意喚起等により、Emotetへの警戒が執拗に促されていることを踏まえると、感染元企業が十分なセキュリティ対策を施していなかった場合には、予見可能性を前提とした過失が認められる可能性が十分にあり得る。 | 上述のとおり、IPAの本件注意喚起等により、Emotetへの警戒が執拗に促されていることを踏まえると、感染元企業が十分なセキュリティ対策を施していなかった場合には、予見可能性を前提とした過失が認められる可能性が十分にあり得る。 | ||
この点、Emotetに関連する損害賠償請求においてよく問題となるのは、Emotetの感染経路等を特定するために感染先企業が行ったデジタルフォレンジック調査費用である。 サイバー攻撃が問題となった過去の裁判例<ref>3 東京地判平成26年1月23日判時2221号11頁など(ベンダーが納品したシステムにSQLインジェクションというサイバー攻撃に対する脆弱性(≒バグ)が存在したことにより生じた損害の賠償責任が問題となった事案。)。</ref>を踏まえると、Emotetの感染経路等を特定するための調査には、調査会社の専門的知見が通常必要となることから、感染元企業の過失と感染先企業における損害との間に相当因果関係が認められる結果、当該調査費用の賠償責任が認められる可能性がある点には注意が必要となる。もっとも、Emotetへの対策を講じるべきことは、感染先企業においても同様である。そのため、多くの場合において、感染先企業にも、Emotetに感染したことにつき一定の落ち度が認められる可能性が高く、最終的には、過失相殺により感染元企業の責任は限定される余地があるといえる。 | この点、Emotetに関連する損害賠償請求においてよく問題となるのは、Emotetの感染経路等を特定するために感染先企業が行ったデジタルフォレンジック調査費用である。 サイバー攻撃が問題となった過去の裁判例<ref group="注"><!--3--> 東京地判平成26年1月23日判時2221号11頁など(ベンダーが納品したシステムにSQLインジェクションというサイバー攻撃に対する脆弱性(≒バグ)が存在したことにより生じた損害の賠償責任が問題となった事案。)。</ref>を踏まえると、Emotetの感染経路等を特定するための調査には、調査会社の専門的知見が通常必要となることから、感染元企業の過失と感染先企業における損害との間に相当因果関係が認められる結果、当該調査費用の賠償責任が認められる可能性がある点には注意が必要となる。もっとも、Emotetへの対策を講じるべきことは、感染先企業においても同様である。そのため、多くの場合において、感染先企業にも、Emotetに感染したことにつき一定の落ち度が認められる可能性が高く、最終的には、過失相殺により感染元企業の責任は限定される余地があるといえる。 | ||
==== (3) 取引先から自組合を騙る不審なメールが届いた旨の連絡を受けた際に検討すべきポイント ==== | ==== (3) 取引先から自組合を騙る不審なメールが届いた旨の連絡を受けた際に検討すべきポイント ==== | ||
ア Emotet感染の有無の確認・取引先から自組合を騙るメールが届いた旨の連絡を受けた場合には、まず自組合の端末がEmotetに感染していないかどうかを速やかに調査する必要がある。これは、取引先から自組合を騙るメールが届いた旨の連絡を受けた場合であっても自組合がEmotetに感染しているとは限らず、仮に感染していた場合には被害拡大を防止する対応の必要がある一方で、感染していなかった場合にはその旨を取引先に伝えてトラブルへの発展を防止する必要がある、というように、対応方針を決めるための初動として、感染の有無の調査が重要となるからである。<ref>4 この点、日本国内のサイバーインシデント情報を収集している一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) から、Emotetに感染した端末のユーザーを騙るメールと、Emotetに感染していない端末のユーザーを騙るメールとでは、メール本文中に記載される文章が異なる旨が指摘されているため、参考になる(前者の場合、本文中に過去のメールのやり取りが引用されるが、後者の場合には、引用がない等。<nowiki>https://www.youtube.com/watch?v=wvu9sWiB2_U</nowiki>)。もっとも、マルウェアの仕様や攻撃手法は日々変化するため、最新のセキュリティ情報に基づき対応することが必要となる。</ref>この点、Emotet感染の有無の簡易の調査方法として、Emotet検知ツールの「Emocheck」<ref>5 <nowiki>https://github.com/JPCERTCC/EmoCheck/releases</nowiki></ref>を利用したり、端末に導入されているアンチウイルスソフトのフルスキャニングを行うこと等が有効である。 | ア Emotet感染の有無の確認・取引先から自組合を騙るメールが届いた旨の連絡を受けた場合には、まず自組合の端末がEmotetに感染していないかどうかを速やかに調査する必要がある。これは、取引先から自組合を騙るメールが届いた旨の連絡を受けた場合であっても自組合がEmotetに感染しているとは限らず、仮に感染していた場合には被害拡大を防止する対応の必要がある一方で、感染していなかった場合にはその旨を取引先に伝えてトラブルへの発展を防止する必要がある、というように、対応方針を決めるための初動として、感染の有無の調査が重要となるからである。<ref group="注"><!--4--> この点、日本国内のサイバーインシデント情報を収集している一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) から、Emotetに感染した端末のユーザーを騙るメールと、Emotetに感染していない端末のユーザーを騙るメールとでは、メール本文中に記載される文章が異なる旨が指摘されているため、参考になる(前者の場合、本文中に過去のメールのやり取りが引用されるが、後者の場合には、引用がない等。<nowiki>https://www.youtube.com/watch?v=wvu9sWiB2_U</nowiki>)。もっとも、マルウェアの仕様や攻撃手法は日々変化するため、最新のセキュリティ情報に基づき対応することが必要となる。</ref>この点、Emotet感染の有無の簡易の調査方法として、Emotet検知ツールの「Emocheck」<ref group="注"><!--5--> <nowiki>https://github.com/JPCERTCC/EmoCheck/releases</nowiki></ref>を利用したり、端末に導入されているアンチウイルスソフトのフルスキャニングを行うこと等が有効である。 | ||
イ (感染が確認された場合)感染源となった別の取引先に対する損害賠償請求の検討<br> | イ (感染が確認された場合)感染源となった別の取引先に対する損害賠償請求の検討<br> | ||
| 52行目: | 53行目: | ||
==== (1) (二重脅迫型) ランサムウェアとは ==== | ==== (1) (二重脅迫型) ランサムウェアとは ==== | ||
ランサムウェアとは、「Ransom(身代金)」及び「Malware(マルウェア)」から成る造語である。 従来のランサムウェアの攻撃手法は、端末内のデータを暗号化して利用できない状態にした上で、復号(復旧)の対価として身代金を要求するものだった。ところが、ここ数年は、従来型のデータ暗号化に加えて、端末内のデータを窃取したうえで、データの復号及び非公開の対価としても身代金を要求する攻撃手法が確認されている(この点を捉えて「二重脅迫型」とも呼ばれている。)。 | ランサムウェアとは、「Ransom(身代金)」及び「Malware(マルウェア)」から成る造語である。 従来のランサムウェアの攻撃手法は、端末内のデータを暗号化して利用できない状態にした上で、復号(復旧)の対価として身代金を要求するものだった。ところが、ここ数年は、従来型のデータ暗号化に加えて、端末内のデータを窃取したうえで、データの復号及び非公開の対価としても身代金を要求する攻撃手法が確認されている(この点を捉えて「二重脅迫型」とも呼ばれている。)。 | ||
[[ファイル:図2 復旧に要した時間、調査・復旧費用の総額の調査結果.jpeg|図2 復旧に要した時間、調査・復旧費用の総額の調査結果|500px|left|thumb]] | |||
上記図2のとおり、ランサムウェア攻撃を受けた場合は、原因調査に1週間以上の期間を要したり、システムの復旧に1,000万円以上の費用が生じることも稀ではない点には注意が必要である。 | 上記図2のとおり、ランサムウェア攻撃を受けた場合は、原因調査に1週間以上の期間を要したり、システムの復旧に1,000万円以上の費用が生じることも稀ではない点には注意が必要である。 | ||
==== (2) 信用組合がランサムウェア攻撃を受けた場合の身代金支払の可否 ==== | ==== (2) 信用組合がランサムウェア攻撃を受けた場合の身代金支払の可否 ==== | ||
身代金の支払は、被害者に身代金相当額の損失を生じさせる。そのため、支払を決定した理事に、善管注意義務違反に基づく損害賠償責任が生じないかが問題となる(民法第644条、 中小企業等協同組合法第35条の3等)。この点については、会社法上の取締役を題材として一定の議論の蓄積があるため参照する。<ref>6 | 身代金の支払は、被害者に身代金相当額の損失を生じさせる。そのため、支払を決定した理事に、善管注意義務違反に基づく損害賠償責任が生じないかが問題となる(民法第644条、 中小企業等協同組合法第35条の3等)。この点については、会社法上の取締役を題材として一定の議論の蓄積があるため参照する。<ref group="注"><!--6--> 拙稿「[[経営判断を迫るサイバー攻撃・ランサムウェアの最新動向について]]」国際商事法務4巻10号1253頁以下等。</ref> | ||
すなわち、要求された身代金を支払うかどうかは、多くの事情を考慮しながら総合的に判断する必要がある。当該判断に正解があるわけではなく、一般的には、経営上の専門判断になじむ事項と考えられるところ、そうした経営判断は、判例上、「その決定の過程、内容に著しく不合理な点がない限り、取締役としての善管注意義務に違反するものではない」とされている(経営判断の原則)。<ref>7 最判平成22年7月15日判タ1332号50頁参照。</ref>もっとも、取締役が、反社会的勢力等である株主からの株主の地位を濫用した不当な要求に応じて金銭的利益の供与を行った事案において、取締役は「暴力団関係者等会社にとって好ましくないと判断される者…から、株主の地位を濫用した不当な要求がされた場合には、法令に従った適切な対応をすべき義務を有する」と判示した判例も存在するため、<ref>8 最判平成18年4月10日民集60巻4号1273HK頁。</ref>取締役としては慎重に検討すべきことが求められている。 | すなわち、要求された身代金を支払うかどうかは、多くの事情を考慮しながら総合的に判断する必要がある。当該判断に正解があるわけではなく、一般的には、経営上の専門判断になじむ事項と考えられるところ、そうした経営判断は、判例上、「その決定の過程、内容に著しく不合理な点がない限り、取締役としての善管注意義務に違反するものではない」とされている(経営判断の原則)。<ref group="注"><!--7--> 最判平成22年7月15日判タ1332号50頁参照。</ref>もっとも、取締役が、反社会的勢力等である株主からの株主の地位を濫用した不当な要求に応じて金銭的利益の供与を行った事案において、取締役は「暴力団関係者等会社にとって好ましくないと判断される者…から、株主の地位を濫用した不当な要求がされた場合には、法令に従った適切な対応をすべき義務を有する」と判示した判例も存在するため、<ref group="注"><!--8--> 最判平成18年4月10日民集60巻4号1273HK頁。</ref>取締役としては慎重に検討すべきことが求められている。 | ||
この点、信用組合は、営利を目的とする会社と異なり、組合員の相互扶助を目的とする協同組合であるため、信用組合の理事は、より高度の注意義務を負うものとして、経営判断の原則の適用範囲がより狭く解釈される可能性がある。<ref>9 村山光信『解説 中小企業協同組合法』(日本評論社・第2版・2014)368~369頁参照。 なお、銀行の取締役が負う注意義務の水準が問題となった最決平成21年11月9日刑集16巻9号1117頁では、取締役の経営判断の原則の適用範囲を限定する判断がなされている。</ref>そのため、信用組合の理事は、身代金の支払を検討せざるを得ない場面に直面した場合、より一層慎重に検討する必要がある。 | この点、信用組合は、営利を目的とする会社と異なり、組合員の相互扶助を目的とする協同組合であるため、信用組合の理事は、より高度の注意義務を負うものとして、経営判断の原則の適用範囲がより狭く解釈される可能性がある。<ref group="注"><!--9--> 村山光信『解説 中小企業協同組合法』(日本評論社・第2版・2014)368~369頁参照。 なお、銀行の取締役が負う注意義務の水準が問題となった最決平成21年11月9日刑集16巻9号1117頁では、取締役の経営判断の原則の適用範囲を限定する判断がなされている。</ref>そのため、信用組合の理事は、身代金の支払を検討せざるを得ない場面に直面した場合、より一層慎重に検討する必要がある。 | ||
=== 3 サイバー攻撃を受けて情報が漏えいした際に問題となる法的対応 === | === 3 サイバー攻撃を受けて情報が漏えいした際に問題となる法的対応 === | ||
| 108行目: | 109行目: | ||
==== (3) ガイドライン等に基づく努力義務としての報告等義務 ==== | ==== (3) ガイドライン等に基づく努力義務としての報告等義務 ==== | ||
(1)(2)以外の場合であっても、金融分野における個人情報保護に関するガイドライン(以下「金融GL」という。)<ref>10 同第1条参照。 例えば、「個人データ」に該当しない 「個人情報」について漏えい等が発生し、又は発生したおそれが生じた場合等。</ref>及び特定個人情報の適正な取扱いに関するガイドライン(事業者編)(以下「番号法GL」という。)<ref>11 同別添2「特定個人情報の漏えい等に関する報告等」中の「3 委員会への報告(番号法第2条の4第1項関係)」参照。</ref>は、一定の場合に、金融庁長官等又は個人情報保護委員会への報告等を行うべき努力義務を定めているため、各ガイドラインを一度確認することが望ましい。 | (1)(2)以外の場合であっても、金融分野における個人情報保護に関するガイドライン(以下「金融GL」という。)<ref group="注"><!--10--> 同第1条参照。 例えば、「個人データ」に該当しない 「個人情報」について漏えい等が発生し、又は発生したおそれが生じた場合等。</ref>及び特定個人情報の適正な取扱いに関するガイドライン(事業者編)(以下「番号法GL」という。)<ref group="注"><!--11--> 同別添2「特定個人情報の漏えい等に関する報告等」中の「3 委員会への報告(番号法第2条の4第1項関係)」参照。</ref>は、一定の場合に、金融庁長官等又は個人情報保護委員会への報告等を行うべき努力義務を定めているため、各ガイドラインを一度確認することが望ましい。 | ||
以上のとおり、信用組合がサイバー攻撃を受けて情報漏えいのおそれが生じた場合の報告等義務については複雑な規制がなされている。そのため、誰に、いつまでに報告等を行う必要があるかは、事前に確認しておくことが望ましい (右記表参照)。 | 以上のとおり、信用組合がサイバー攻撃を受けて情報漏えいのおそれが生じた場合の報告等義務については複雑な規制がなされている。そのため、誰に、いつまでに報告等を行う必要があるかは、事前に確認しておくことが望ましい (右記表参照)。 | ||
| 115行目: | 116行目: | ||
==== (1) 役職員教育の徹底 ==== | ==== (1) 役職員教育の徹底 ==== | ||
Emotetやランサムウェアに限らず、メールを端緒とするサイバー攻撃は非常に多く、一説には、メールがサイバー攻撃のきっかけの9割を占めるとも | Emotetやランサムウェアに限らず、メールを端緒とするサイバー攻撃は非常に多く、一説には、メールがサイバー攻撃のきっかけの9割を占めるとも | ||
言われている。<ref>12 柏木凌真「『進化』20年偽メール猛威、攻撃入り口の9割に」 日本経済新聞2021年5月21日 (<nowiki>https://www.nikkei.com/article/DGXZQOUE13DRPOT10C21A5000000/</nowiki>)。</ref>そのため、 自組合の役職員に対し、不審なメールを開封しないように周知徹底することが、セキュリティ体制確保の上では非常に有効である。 | 言われている。<ref group="注"><!--12--> 柏木凌真「『進化』20年偽メール猛威、攻撃入り口の9割に」 日本経済新聞2021年5月21日 (<nowiki>https://www.nikkei.com/article/DGXZQOUE13DRPOT10C21A5000000/</nowiki>)。</ref>そのため、 自組合の役職員に対し、不審なメールを開封しないように周知徹底することが、セキュリティ体制確保の上では非常に有効である。 | ||
==== (2) サイバー保険への加入 ==== | ==== (2) サイバー保険への加入 ==== | ||
| 129行目: | 130行目: | ||
畔柳泰成<br> | 畔柳泰成<br> | ||
八雲法律事務所。弁護士・情報処理安全確保支援士。情報法を専門とし、企業のサイバーセキュリティ対応、知的財産紛争、システム紛争、ドメイン紛争を中心に扱う。 | 八雲法律事務所。弁護士・情報処理安全確保支援士。情報法を専門とし、企業のサイバーセキュリティ対応、知的財産紛争、システム紛争、ドメイン紛争を中心に扱う。 | ||
=== 注 === | |||
<references group="注" /> | |||
== 画像 == | == 画像 == | ||