大規模なランサムウェア攻撃が相次ぐ中、米国はサイバー攻撃の事後報告に関する規則を施行した。だがこの規則が、企業に身代金支払いを促す原因になるという指摘がある。なぜ逆効果をもたらし得るのか。
ランサムウェア(身代金要求型マルウェア)集団Dark Angelsが、ある組織のシステムに不正アクセスし、100TBのデータを盗み出した上、7500万ドルという大金を要求したことが2024年初頭に発覚した。被害を受けた組織は詳細を明かしておらず、真相は不明だが、米国の大手製薬企業Cencora(旧AmerisourceBergen)だという見方がある。ブロックチェーン分析企業Chainalysisは、7500万ドルという金額について「これまで記録された中で最高額」だと報告した。
7500万ドルの身代金支払いの詳細が不明なことから、米国証券取引委員会(SEC)が2023年7月に採択したサイバーセキュリティ事件報告規則に照らし合わせて、米国の開示法の実効性を疑問視する声が上がっている。何が問題なのか。
この規則は上場企業に対して、自社に重大な影響を与える可能性があると判断した事件について、判断の4営業日以内に8-K書類で報告することを義務付けている。8-K書類は、株主や投資家に影響を与え得る重要な出来事を報告する書類だ。
データベース管理システム(DBMS)ベンダーMongoDBの信頼性担当責任者であり、セキュリティ研究機関IANS Researchのメンバーでもあるジョージ・ゲルチョウ氏は、7500万ドルの身代金支払いがSECの規則の弱点を浮き彫りにしたと述べる。ゲルチョウ氏は当初、透明性の向上に寄与すると考え、この規則を支持していた。
問題の一つが、事件の重大性の判断が被害企業の主観に基づくことだ。たとえ深刻な侵害であっても、企業が「株価に大きな影響を与えないので重大ではない」と主張できてしまうからだ。「ほとんどの企業が規則のあいまいさを利用して、自社に都合の良いように解釈している」とゲルチョウ氏は述べる。
セキュリティベンダーZscalerの脅威インテリジェンス担当ディレクターであるブレット・ストーングロス氏も同じ意見を示し、次のように語る。「現在、企業は事件があったことを開示するものの、その内容は非常に不明確だ」
ロサンゼルスを拠点とする国際法律事務所Paul Hastingsは、2023年12月から2024年10月の間に上場企業48社が発行した75件の開示文書を調査し、その結果をレポート「SEC Cybersecurity Incident Disclosure Report」としてまとめた。調査対象になった文書のうち、重大な影響について詳細に記述していたのは13%だった。
さらに深刻なのは、SECの規則が企業にデータ侵害を隠蔽(いんぺい)するための口実を与えかねないことだ。身代金を支払えば、データが公開される可能性はほぼなくなり、被害企業が「重要ではない」と判断できる口実が生まれる。ゲルチョウ氏は「重大な侵害かどうかに悩まず、身代金を支払えば済む話になってしまう」と言い添える。
別の問題としてストーングロス氏は、身代金支払いの開示義務がないことを指摘する。一般的に、身代金を支払ったことは深刻な攻撃の証拠だと見なされる。「被害企業が多額の身代金を支払った場合、それは攻撃が業務を妨害したか、データが公開されると莫大(ばくだい)な損失につながる恐れがあることを意味する」と同氏は述べる。
今回の事件で、患者の健康情報が盗まれていた場合、その損害を金額で評価するとどの程度になるのか。まず患者が訴訟を起こせば、7500万ドルをはるかに超える賠償金が発生する恐れがある。経営陣の過失が証明されれば、解任や追加訴訟のリスクが生まれ、他の問題を引き起こしかねない。
一部の企業は、身代金を支払ったことを開示する代わりに、盗まれたデータについてのあいまいな記述を8-K書類に残している。衛星放送事業者Dish Networkが2023年にランサムウェア攻撃を受けたことを開示した際は、攻撃者が同社のシステムを暗号化し、機密データを盗んだことにも言及した。同社は侵害通知書の中で、「顧客情報が悪用された事実は認識しておらず、盗まれたデータは削除済みであることを確認した」と述べたが、身代金を支払ったかどうかは明かしていない。
Cencoraは8-K書類の修正書に、盗まれたデータに関する注目すべきあいまいな記述を残した。盗まれたデータが破棄されたとの記載はなかったが、「これらのデータが公開されている証拠、または公開された可能性を示す証拠を見つけていない」との記載があった。
これは何を意味するのか。もしDark Angelsの攻撃を受けた組織がCencoraではない場合、その組織は開示すべき重大な情報を開示していないことになる。もし被害組織がCencoraである場合、大手上場企業が壊滅的な被害を受けながら、7500万ドルの支払いや100TBのデータ盗難といった損害に関する詳細情報の開示を、法の範囲内で回避したということになる。この状況をゲルチョウ氏は「衝撃的」だと表す。
情報セキュリティの専門家が懸念するのは、SECの規則が国民よりも攻撃者に有利に働く可能性がある点だ。過去には身代金の支払いを拒否した被害組織をランサムウェア集団が「SECに報告する」と脅したケースや、実際にそうした脅迫を実行したケースがある。
7500万ドルの身代金支払いの件について疑問が残る中でゲルチョウ氏は、SECの開示要件によって企業が透明性を高める方向に進む可能性は低いとみる。「現在、ほとんどの企業は、義務付けられていないという理由で詳細を全て明らかにしていない。この規則は実効性を伴っていない」(同氏)
米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
データセンターにおいて、NGFWやマルウェア対策といったセキュリティ製品の導入は不可欠だが、選定を誤ると非効率な運用プロセスや高いコストに悩まされることとなる。5つの組織の例から、費用対効果の高い製品を見極めるコツを探る。
ダウンタイムが許されない基幹系システムやデータベースをクラウドに展開している場合、システムの障害対策をベンダー任せにすることは危険だ。本資料では、その理由を解説するとともに、クラウドの障害対策を実施する方法を紹介する。
エンドポイントがサイバー攻撃の対象となるケースも増えている今、企業にはどのような対策が必要なのか。2024年に実施された調査の結果を基に、3つの重大なリスク要因と、その解決策としてサイバーレジリエンスが重要な理由を解説する。
マルチクラウド化が進み、アプリケーションとインフラを効率的に保護する手法が求められる昨今。そこで注目したいのが、WAAP(Web Application and API Protection)とCNAPP(Cloud Native Application Protection Platform)の活用だ。
標的型攻撃は主にメールで行われ、企業側が気を付けていても防ぎきれないケースがある。そのため、対策には検知・防御だけでなく、“攻撃を受けても情報が漏れない”仕組み作りが重要であり、各従業員のITリテラシー向上が不可欠だ。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
