情報流出は隠せない──サイバー犯罪の被害時に取るべき3つの行動：まずは捜査当局との連携を

サイバー犯罪の被害に遭う企業は、捜査当局と連携するよりも沈黙を保つ方を選びがちだ。結果として敵と戦わずに自分たち自身と戦う羽目になる。

[Kim Getgen、Kimberly Kiefer Peretti，TechTarget]

　組織を狙うサイバー犯罪者集団の攻撃は執拗で、その手口は一層非情になっている。企業から流出する情報の量は増えるばかりだ。その損害から回復するための費用は激増し、かつてわれわれが電子商取引インフラに寄せていた信頼は薄れつつある。サイバー犯罪集団は、検出を免れる設計の新しいマルウェアなど、改良型の「火器」開発を進めてきた。標的とするネットワークの脆弱性は時間をかけて理解する。そして、何度でも通用することを実証済みの同じマルウェアとSQLインジェクションを使って複数の企業に同時に侵入し、最大限の利益を引き出すやり方を身に付けた。極めて実入りが良く繰り返しの効くビジネスを構築したのだ。

　これが可能になったのは、情報流出が起きた場合に企業が協力と情報の共有を渋ることが一因だ。情報窃盗犯罪の被害に遭った組織は、捜査当局と連携するよりも、沈黙を保つ方を選びがちだ。結果として敵と戦わずに自分たち自身と戦う羽目になる。長い目で見れば、これによってさらにコストがかさみ、サイバー犯罪集団を手助けして貴重な時間を与え、さらに多くの組織を狙わせることになる。

　情報セキュリティの専門家は、情報流出後に捜査機関と協力することがなぜ企業にとって最善なのかを経営者と法務担当者に理解させようと苦労しているかもしれない。こうした意見に対し、経営陣は愚かにも情報流出を隠し通せると考え、あるいは事が公になる前に誰かが奇跡のように解決してくれると考えて、耳を貸さないこともある。

　流出の直後から捜査当局と協力することの重要性について彼らを説得する一助として、これから挙げる3点を検討してほしい。なお本稿の目的は、暗号化されていないバックアップテープが幾つかトラックの荷台から落ちたといったケースを想定したものではない（この種の事故による影響も同じくらい悪いものかもしれないが）。ここでは自社が犯罪の被害に遭った場合の情報流出にテーマを絞る。われわれは業界として、通報上手にならなければならない。

1．訴訟費用の削減

　重大な情報流出を捜査当局から、または一般の目から隠せないことはますますはっきりしてきた。いずれは見つかる。情報流出を隠そうと障壁を積み重ねるほど、対峙しなければならなくなる召喚状の数が増え、浪費するリソースと時間、訴訟費用はかさむばかりだ。こうしたリソースは攻撃を仕掛けた相手をつかまえるために使うこともできるのだ。米国の小売大手TJXと大手決済処理会社Heartland Payment Systemsが絡んだアルバート・ゴンザレス被告のクレジットカード情報窃盗事件では、自分たちの社名を隠すためにリソースをつぎ込んだ組織が、事件が公判に持ち込まれた段階で、結局は身元を明かさざるを得なくなった。情報流出を隠そうとすれば、結果的にコストが一層かさむことになりがちだ。

　できるだけ長い間社名を隠そうとする代わりに、捜査当局を敵ではなくパートナーと見なして、情報流出に正面から取り組む方法を検討したい。法務が捜査当局との協力に備え、協力しながら会社のニーズに欠かせない措置を講じていく方が、はるかに戦略として優れている。例えば、ネットワーク配線図といった特に重要な情報を洗い出し、この情報を公表する前または保全命令に基づいて公表される前に編集してもいいかどうかを問い合わせる。このようなやり方で、捜査当局がぜひとも必要とする重要情報を提供しながら自社も守ることができる。情報流出事件では、捜査当局は多くの場合、被害者のニーズに気を配った方が長い目で見れば双方のためになることを理解している。

2．調査費用の削減

　サイバー犯罪集団は同じ手口で複数の企業を標的にすることから、自前の調査チームよりも捜査当局の方が、システム侵入の手口についてよく知っていることもある。調査チームがどこから調べ始めればいいのか、技術ソリューションをどう改善すればいいのかが分かるよう、協力して貴重な情報を入手すれば、時間とリソースを省くことができる。こうした情報は自社のネットワークを強化したり、問題の解決を早めたりする一助となる。

3．正しい行動を取る

　組織犯罪と戦うためには力を合わせる必要がある。組織が長く沈黙を保つほど、サイバー犯罪集団が同じ手口を使って別の組織を攻撃する時間と機会は増える。協力を拒めば犯罪集団の利益は増えるばかりで、それを再投資してさらに攻撃能力を高めてくる。

　情報流出の被害者が名乗り出ないのは、近所で組織犯罪のうわさが広まっているのに目撃者がいないようなものだ。不安におののく社会をなすすべもなく見ているしかない。ハッキング組織が複数のシステムに侵入する実態を目の当たりにする中、1人の被害者が協力を拒めば、その影響は多数に及ぶ。協力を拒むことで、より大きな社会に損害を与えているのだ。

　ゴンザレス被告のような犯罪者は、進んで名乗り出て捜査当局に異例の協力をした多くの被害者の指導力なしには訴追できなかったかもしれない。サイバー犯罪を通報して協力することは責任ある行動であり、オンライン金融犯罪との戦いに向けた大きな一歩となる。

本稿筆者のキム・ゲトジェン氏はコンサルティング会社Trust Catalyst社長。キンバリー・キーファー・ペレッティ氏は元米司法省コンピュータ犯罪・知的財産局の上席検事。アルバート・ゴンザレス被告の訴追を手掛けた。

関連ホワイトペーパー

情報流出 | マルウェア | 経営 | バックアップ | 暗号化 | ハッキング | SQL | 脆弱性