大規模なランサムウェア攻撃が相次ぐ中、米国はサイバー攻撃の事後報告に関する規則を施行した。だがこの規則が、企業に身代金支払いを促す原因になるという指摘がある。なぜ逆効果をもたらし得るのか。
ランサムウェア(身代金要求型マルウェア)集団Dark Angelsが、ある組織のシステムに不正アクセスし、100TBのデータを盗み出した上、7500万ドルという大金を要求したことが2024年初頭に発覚した。被害を受けた組織は詳細を明かしておらず、真相は不明だが、米国の大手製薬企業Cencora(旧AmerisourceBergen)だという見方がある。ブロックチェーン分析企業Chainalysisは、7500万ドルという金額について「これまで記録された中で最高額」だと報告した。
7500万ドルの身代金支払いの詳細が不明なことから、米国証券取引委員会(SEC)が2023年7月に採択したサイバーセキュリティ事件報告規則に照らし合わせて、米国の開示法の実効性を疑問視する声が上がっている。何が問題なのか。
この規則は上場企業に対して、自社に重大な影響を与える可能性があると判断した事件について、判断の4営業日以内に8-K書類で報告することを義務付けている。8-K書類は、株主や投資家に影響を与え得る重要な出来事を報告する書類だ。
データベース管理システム(DBMS)ベンダーMongoDBの信頼性担当責任者であり、セキュリティ研究機関IANS Researchのメンバーでもあるジョージ・ゲルチョウ氏は、7500万ドルの身代金支払いがSECの規則の弱点を浮き彫りにしたと述べる。ゲルチョウ氏は当初、透明性の向上に寄与すると考え、この規則を支持していた。
問題の一つが、事件の重大性の判断が被害企業の主観に基づくことだ。たとえ深刻な侵害であっても、企業が「株価に大きな影響を与えないので重大ではない」と主張できてしまうからだ。「ほとんどの企業が規則のあいまいさを利用して、自社に都合の良いように解釈している」とゲルチョウ氏は述べる。
セキュリティベンダーZscalerの脅威インテリジェンス担当ディレクターであるブレット・ストーングロス氏も同じ意見を示し、次のように語る。「現在、企業は事件があったことを開示するものの、その内容は非常に不明確だ」
ロサンゼルスを拠点とする国際法律事務所Paul Hastingsは、2023年12月から2024年10月の間に上場企業48社が発行した75件の開示文書を調査し、その結果をレポート「SEC Cybersecurity Incident Disclosure Report」としてまとめた。調査対象になった文書のうち、重大な影響について詳細に記述していたのは13%だった。
さらに深刻なのは、SECの規則が企業にデータ侵害を隠蔽(いんぺい)するための口実を与えかねないことだ。身代金を支払えば、データが公開される可能性はほぼなくなり、被害企業が「重要ではない」と判断できる口実が生まれる。ゲルチョウ氏は「重大な侵害かどうかに悩まず、身代金を支払えば済む話になってしまう」と言い添える。
別の問題としてストーングロス氏は、身代金支払いの開示義務がないことを指摘する。一般的に、身代金を支払ったことは深刻な攻撃の証拠だと見なされる。「被害企業が多額の身代金を支払った場合、それは攻撃が業務を妨害したか、データが公開されると莫大(ばくだい)な損失につながる恐れがあることを意味する」と同氏は述べる。
今回の事件で、患者の健康情報が盗まれていた場合、その損害を金額で評価するとどの程度になるのか。まず患者が訴訟を起こせば、7500万ドルをはるかに超える賠償金が発生する恐れがある。経営陣の過失が証明されれば、解任や追加訴訟のリスクが生まれ、他の問題を引き起こしかねない。
一部の企業は、身代金を支払ったことを開示する代わりに、盗まれたデータについてのあいまいな記述を8-K書類に残している。衛星放送事業者Dish Networkが2023年にランサムウェア攻撃を受けたことを開示した際は、攻撃者が同社のシステムを暗号化し、機密データを盗んだことにも言及した。同社は侵害通知書の中で、「顧客情報が悪用された事実は認識しておらず、盗まれたデータは削除済みであることを確認した」と述べたが、身代金を支払ったかどうかは明かしていない。
Cencoraは8-K書類の修正書に、盗まれたデータに関する注目すべきあいまいな記述を残した。盗まれたデータが破棄されたとの記載はなかったが、「これらのデータが公開されている証拠、または公開された可能性を示す証拠を見つけていない」との記載があった。
これは何を意味するのか。もしDark Angelsの攻撃を受けた組織がCencoraではない場合、その組織は開示すべき重大な情報を開示していないことになる。もし被害組織がCencoraである場合、大手上場企業が壊滅的な被害を受けながら、7500万ドルの支払いや100TBのデータ盗難といった損害に関する詳細情報の開示を、法の範囲内で回避したということになる。この状況をゲルチョウ氏は「衝撃的」だと表す。
情報セキュリティの専門家が懸念するのは、SECの規則が国民よりも攻撃者に有利に働く可能性がある点だ。過去には身代金の支払いを拒否した被害組織をランサムウェア集団が「SECに報告する」と脅したケースや、実際にそうした脅迫を実行したケースがある。
7500万ドルの身代金支払いの件について疑問が残る中でゲルチョウ氏は、SECの開示要件によって企業が透明性を高める方向に進む可能性は低いとみる。「現在、ほとんどの企業は、義務付けられていないという理由で詳細を全て明らかにしていない。この規則は実効性を伴っていない」(同氏)
米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
マーケター500人に聞いた「SEOの最新トレンド」 内部施策と外部施策それぞれの注力ポイントは?
企業は内部施策と外部施策をどのように組み合わせて効果的なSEO戦略を展開しているのか。
生成AIを活用するとマーケティングリサーチはどう変わる?
GMOプレイアドは、オンラインリサーチサービス「Depth X byGMO」の提供を開始した。
「AI専任部門は不要」 コカ・コーラが生成AIを真っ先に使ってみて学んだこと
飲料業界の巨人は話題の技術をどのように活用してきたのか。The Coca-Cola Companyの生成...
ITmediaはアイティメディア株式会社の登録商標です。
