ランサムウェア攻撃と情报拡散の二次被害问题を考える
2024年も続発した国内のランサムウェア攻撃被害。碍础顿翱碍础奥础やカシオ计算机が公表したランサムウェア攻撃被害では、「漏洩した情报の拡散行為」を控えるようお愿いや注意唤起が付されました。なぜ情报拡散行為が好ましくないのか、サイバーセキュリティの视点から考えます。
Save to Folio
参考记事
?2024年上半期における法人?个人に対するサイバー攻撃を解説
?警察庁「2024年上半期サイバー犯罪レポート」で押さえておくべきポイントは?~ランサムウェアと脆弱性~
ご存じの通りランサムウェア攻撃者グループの狙いは「金銭」です。ランサムウェア攻撃は、侵入先の组织のデータを暗号化し事业停止に追いこむほか、その际に窃取した情报を暴露サイトで公开すると胁迫し、被害组织に「身代金」を要求するというサイバー犯罪です。
ランサムウェア攻撃は数年前より猛威を振るっていますが、2024年は直接的には当事者のサイバー犯罪者が関わらない「サイバー犯罪の二次被害」が顕着に表れた年でもありました。それは当事者とは无関係の第叁者による情报拡散行為です。
参考记事:ランサムウェアギャングが暴露するデータとどう向き合うべきなのか?
本稿ではランサムウェア攻撃をはじめとするサイバー攻撃と情报拡散の二次被害が议论となった国内事例を3例、绍介します。
①株式会社碍础顿翱碍础奥础のランサムウェア攻撃被害事例(2024年6月公表)
株式会社碍础顿翱碍础奥础(以下、碍础顿翱碍础奥础)2024年6月下旬に発覚したランサムウェア攻撃事例であり、取引先の个人情报など25万人分の情报漏洩被害が発表された事例です。攻撃の概要と当社の考察はこちらの记事をご覧ください。
この事例では、调査状况や被害の状况が逐次公表されていく中で、「サイバー攻撃を行ったとされる组织が公开したものとする情报を拡散する行為に対する警告と、悪质な情报拡散を行う者への法的措置を讲じる旨」(同社のプレスリリースより)が公表されました。その后の発表で、悪质と判断した情报拡散行為(厂狈厂?匿名掲示板?まとめサイト等)を“被害组织自ら”が450件以上特定し、投稿内容の削除要请、発信者情报の开示请求を行う事态に至っています。
参考情报
?(株式会社碍础顿翱碍础奥础。2024年8月5日公表)
?(株式会社碍础顿翱碍础奥础。2024年7月10日公表)
?(株式会社碍础顿翱碍础奥础。2024年7月12日公表)
②株式会社ゲームフリークの不正アクセス被害事例(2024年10月公表)
人気キャラクターゲーム開発会社として知られる株式会社ゲームフリーク(GAME FREAK、以下ゲームフリーク)が第三者による不正アクセス被害を受け、2024年10月に被害を公表した事例です(被害の発生は2024年8月)。同社の公式発表では、従業員の情報など、約2,600件の个人情报の漏洩被害があったと報告されています。
この公式発表とは别に、次回作のゲームに関する情报などが漏洩したとする投稿が厂狈厂でなされ、一部の国内外メディアが漏洩内容を报道する状况となっています※。
※厂狈厂の投稿内容や报道内容について、被害组织からは见解が公表されておらず、现时点では真偽不明です(2024年10月17日现在)。
参考情报:(株式会社ゲームフリーク。2024年10月10日公表)
③カシオ计算机株式会社のランサムウェア攻撃被害事例(2024年10月公表)
カシオ计算机株式会社(以下、カシオ)が2024年10月に公表したランサムウェア攻撃の被害事例です。现在被害规模を调査?特定中ではあるものの、従业员や取引先の个人情报などの情报漏洩の可能性について言及しています。この公表内容では、同社からのお愿いという形で、漏洩した情报の拡散行為を控える注意唤起が付されています。
参考情报:(カシオ计算机株式会社。2024年10月11日)
漏洩した情报拡散行為のデメリット
前述した通り、ランサムウェア攻撃に代表されるサイバー犯罪により攻撃者に窃取された情报は、暴露サイトなどに一部または全部公开されるケースがあります。ただ、下记の记事でも言及した通り、暴露サイトの情报はダークウェブ※やサーフェイスウェブ、また攻撃者が运営する厂狈厂アカウントなどで公开されており、一般のネット利用者でも目にする可能性があり得ます。
※匿名性保持や追跡回避を実现する技术を使用し、一般のインターネット空间上に构筑されているウェブコンテンツやネット空间。ディープウェブの一部。
参考情报:ランサムウェアギャングが暴露するデータとどう向き合うべきなのか?
すでに「サイバー犯罪者がネット上に公开した漏洩情报」をさらに拡散する行為、つまり「すでに公知となっていると考えられる漏洩情报をさらに拡散すること」には、どのようなデメリットがあるのでしょうか?ここでは大きく3つ取り上げます。
①被害组织のインシデント対応力の低下を招く恐れがある
セキュリティインシデント発生直後は、漏洩した情報や被害範囲の特定、侵入経路の特定、情報漏洩被害者や関係組織への確実な連絡、監督組織への報告、システムや業務の復旧計画の整備、社会的説明責任など数々の業務を限られた時間内で行う必要があります。当事者ではない第叁者による情报拡散行為は、「本来、知る必要のない情报を知る必要のない相手に伝える行為」と言い换えることもでき、被害者とは関係のない相手から“不必要な问い合わせやクレーム”が被害组织に行われる可能性があり、结果的に被害组织のインシデント対応力を削ぐ结果になりかねません。実际に碍础顿翱碍础奥础の事例では、匿名掲示板や厂狈厂の监视チームが组织され、さらに情报拡散被害者からの问い合わせ対応の窓口の设置など、过去のセキュリティインシデントでは想定されていなかった业务が発生する事态となっています。
②拡散行為がサイバー犯罪者の优位に働いてしまう恐れがある
先ほどサイバー犯罪者が公开した情报は、一般のネット利用者でも知り得るとしましたが、积极的に情报を探しておらず、触れる机会のない利用者もいます。こうした利用者にも漏洩情报の中身が伝わることによるメリットは、サイバー犯罪者にしかありません。つまり、サイバー犯罪者が公开した范囲以上に、彼らの“行动”や“成果”が広范囲に伝わり、被害组织へのプレッシャーになったり、ランサムウェア攻撃者が被害组织との交渉上の“有利な立场”になってしまう可能性があります。いわば、情报拡散者はサイバー犯罪者の片棒を担いでしまっている状况とも言えるでしょう。
③拡散行為者が漏洩被害者や被害组织から损害赔偿请求を受ける恐れがある
攻撃者によって公开された情报の中に个人情报が含まれており第三者が拡散した場合、个人情报の保有者のプライバシー侵害行為にあたる恐れがあり、被害者から拡散行為をした者に損害賠償請求が行われる可能性があります。また、ゲームフリークの事例のように、本来営业秘密※と思われる机密性の高い情报や着作権で保护されている情报を拡散した场合にも、被害组织から拡散者が损害赔偿请求を受ける可能性があります。
※では、営业秘密を有用性(事業活動上、経費の節約や経営効率の改善に役立つこと)、秘密管理性(秘密管理措置が取られ、その意思が従業員に周知されていること)、非公知性(管理者以外では一般に入手できないこと)の要件がそろった情報であるとしている。攻撃者によって情報がネット上に公開された時点で要件の1つ「非公知性」を失っており拡散行為は不正竞争防止法違反には問えないものの、他人の権利や利益を侵害した不法行為に対する民法上の訴訟は可能ではないかという見方がある。
私たちは何に気を付けるべきか
ここまでサイバー犯罪者が公开した情报を拡散する行為のデメリットを3つ取り上げてきましたが、セキュリティインデントに関する情报を発信する际に「公知となった情报の出所がサイバー犯罪者によるものである」、そして「标的とされた组织は被害者である」という点は押さえておく必要があります。
「当たり前ではないか」という声も闻かれそうな基本事项ではありますが、セキュリティインシデントに関する情报は、あくまで対策の强化や攻撃手口の分析のために共有?活用されるべきものであり、それ以外の情报は本来関係者以外の人にとっては不要のはずです。
结果的にサイバー犯罪者を助长してしまうことや、二次被害の加害者になってしまうこともあるため、サイバー犯罪により公知になった情报の取り扱いにはご注意ください。もし、そのような行為をしようとしている方を见かけた场合は、ぜひ上记のことをお伝えいただければと思います。
<関连记事>
?ランサムウェアギャングが暴露するデータとどう向き合うべきなのか?
?2024年上半期における法人?个人に対するサイバー攻撃を解説
?2024年第3四半期のセキュリティインシデントを振り返る
?事例にみる国内に被害をもたらす2大ランサムウェア攻撃者グループ
