強化されるサイバーセキュリティ開示規則

SNSと電話でジャックポット

ラスベガスで9月、同じランサムウェア（身代金要求型マルウェア）によって立て続けに2件のカジノでのサイバー攻撃被害が発生した。被害に遭ったうち一方のカジノは身代金の支払いを拒否したが、もう一方のカジノでは1500万ドル（およそ22億円）もの身代金を支払って解決を試みている。

身代金を支払ったほうのカジノは、運転免許証や社会保障番号などのデータが盗まれたことによる被害を最小限に抑えるために、身代金の支払いに応じたと述べている。ただし、今回のサイバー攻撃被害が会社の収益に重大な影響を与えないとしているものの、盗まれたデータの安全は保証できないとも述べている。 かたや、身代金の支払いを拒否し自力での復旧を試みたほうのカジノでは、10日間のシステム停止によってカジノやホテル、レストランなどの営業に影響した。損害額は1日あたりの収益の10%〜20%に相当すると報告しており、推定 8,000万ドルから1億6,000万ドル（およそ120億円から240億円）にもおよぶと見られている。

多くの人にとってカジノと言えば、物理的にも強固なセキュリティが備わった施設といったイメージはあるだろう。「オーシャンズ11」など多くの映画でも、難攻不落の要塞のようなカジノから現金や金塊などを盗み出す強盗たちの試行錯誤が描かれている。 ところが今回は、易々とサイバー攻撃が成功してしまったのだ。10代のメンバーも所属していると考えられているこのサイバー犯罪グループは、SNS（ソーシャルメディア）と電話によって、1500万ドル（およそ22億円）を手に入れることに成功した。まさしくジャックポット（カジノで大当たりすること）だ。

このグループがまずやったこと。それは、SNSの一つであるLinkedinで、カジノの従業員を探し、情報収集するところから始まった。 そして次に、調べたカジノの従業員になりすまして、カジノのITサポートに電話。カジノのシステムにログインできないと偽り、任意のパスワードを新たに設定するためのパスワードリセットをITサポートに依頼。 もちろん、ITサポートは従業員本人からの連絡であることを確かめるために本人確認の質問をしたが、質問はなんと氏名・従業員番号・生年月日のみ。ここで事前にLinkedinで調べておいたこれらの情報を伝えることでなりすましに成功。そして、パスワードリセットの依頼に成功し、自身で設定した新しいパスワードでシステムへの侵入を成功させている。

この時にMFA（多要素認証）が導入されていれば、誰かが自分のパスワードをリセットしようとしていることに、なりすまされた本人も気が付けたのかもしれない。ソーシャルメディアでの職場情報の公開や簡単な本人確認プロセス、MFAの不備などたくさんの教訓が詰まったケースではある。映画に描かれるカジノのほうがもう少し難しいことをやっているかもしれない。

投資家や利害関係者に対する透明性と説明責任

2件のカジノで連続して発生したランサムウェアによるサイバー攻撃被害。一連の被害状況や手口、今後の経営見通しなどには実は誰でもアクセスすることができる。2件のカジノはともに上場企業であるため、SEC（米国証券取引委員会）のレギュレーションに従って報告書をSECに提出しなくてはならず、そしてそれは開示されるからだ。 ^[1] 身代金を支払ったほうのカジノが「盗まれたデータの安全は保証できない」と述べているのもこの提出書類の中で述べたことである。

このようなサイバー攻撃被害の通知と開示については年々要件が厳しくなっており、今年12月15日に施行されるSECのサイバーセキュリティ開示規則では、リスク管理・ガバナンス・事故報告の3つのカテゴリーに属する情報を的確に開示することを求めている。規則化されたことによって、今後は通知や開示に失敗し罰則が科されれば、役員への賠償請求なども発生するだろう。

また、SECの新しい規則が施行されるに伴い、信用格付機関の S&Pグローバル・レーティングスは、サイバーセキュリティが弱い企業に対して今後12ヶ月以内に格下げの可能性があるとをコメントしている。

おなじく信用格付機関のムーディーズは、この規則によって 不透明で増大するリスクに対して透明性をもたらし、投資家に対して一貫性と予測可能性のあるサイバーセキュリティ開示が高まることを期待しているとコメントしている。このサイバーセキュリティ開示規則は、他の通知制度よりも早期にサイバーセキュリティインシデントを開示することを求めており、投資家や利害関係者に対する透明性と説明責任を高めることを目的としているためだ。

また、今回のカジノでのサイバー攻撃被害においても、ムーディーズは今回の事件が信用格付にマイナスの影響を与える可能性があることを示唆している。実際、身代金を支払ってしまったカジノでは被害公表した当日に株価が2.7%下落、もう一方のカジノでも1.2%下落している。

透明性をもって積極的に

期限付きの開示規則が各国や各業界にて厳格化されていく中、被害企業の多くを悩ませている問題がある。

まずは誰に相談したら良いのか？

初動対応の問題だ。もちろん明確な対応手順を定めている企業もあるが、多くの場合、取引のあるITベンダーやITコンサル、保険ブローカーやリスク管理のコンサルティング会社などに、まずは相談をされている。

英国ではこれらに加え、データ侵害が発生した際に迅速かつ適切な対応を企業や組織がしていけるよう、NCSC（国家サイバーセキュリティセンター）と協力することを強く推奨するようになった。NCSCとの協力は単なる情報共有に留まらず、NCSCのもつ専門知識と経験をもとにガイダンスやサポートを受けながらサイバーセキュリティ改善に取り組んでいく。また、規制上の罰則の軽減にも繋がることが期待されている。そして、企業や組織がインシデントを隠蔽するのではなく、透明性をもって積極的に監督官庁への報告を行うことも同時に期待されている。

ただし、政府機関である NCSCにあらゆる情報を開示してしまうことで、データ保護監督当局である ICO（情報コミッショナーオフィス）に情報が筒抜けとなり、より厳しい罰則が科されるのではないかという企業や組織側の懸念もかたやあった。そこで、NCSCとICOはサイバーセキュリティの改善に向けて協力し、組織がサイバーレジリエンスを高めるためのプラットフォームとメカニズムを提供することを目的とした共同覚書（MoU）を締結し ^[2]、NCSCは企業や組織から共有された情報の機密性を守ることを取り決めた。

両機関は、企業や組織がインシデントの直後にNCSCと連携することで、被害の軽減や再発防止のための適切な措置を講じることを期待している。サイバー攻撃からオンラインでの情報を安全に保つために、両機関は企業や組織に適切なツール・アドバイス・サポートも提供している。また、この覚書に基づいて組織が行動を起こし、データ侵害に対処する準備を整えることは経営層の責任であるとしている。経営層はデータ侵害に対するリスクを軽視せず、そのリスクを最小限に抑えるための対策を講じ、継続的な取り組みを進める必要がある。

Footnotes

1. “United States securities and exchange commission Return to article undo
2. “Memorandum of Understanding between the National Cyber Security Centre and the Information Commissioner (National Cyber Security Centre) Return to article undo