サイバー攻撃に遭った際の「被害公表のあり方」とは(写真:Ushico/PIXTA)

企業がサイバー攻撃に遭った際、どのように被害を公表すべきかは、これまで「正解」と言えるものがなかった。だが、「被害公表のあり方」がまとめられ、情報を開示する際に参考になるものができたのをご存じだろうか。2023年3月に公表された「サイバー攻撃被害に係る情報の共有・公表ガイダンス」だ。


東洋経済Tech×サイバーセキュリティのトップページはこちら

このガイダンスは、サイバーセキュリティ基本法の下で設置されている官民連携の活動「サイバーセキュリティ協議会」内に設置された有識者検討会が作成したものだ。事務局は、内閣サイバーセキュリティセンター(NISC)、警察庁、総務省、経済産業省、JPCERT/CCが共同で務めている。

当初、検討会ではサイバー攻撃被害の未然防止や被害拡大防止のための「情報共有」を目的としていたが、「情報共有」という意味では、すでに多くの活動実績や知見がたまりはじめていた。

そこで、これといった「正解」がない被害公表にもフォーカスを当てるべきとなり、情報共有とほぼ同じボリュームでガイダンスの紙面を割くこととなった。

攻撃側の“パラダイムシフト”で被害が増える傾向に

たびたびニュースなどの報道で「年間〇万件の攻撃」という数字を見るが、これは必ずしもサイバー攻撃被害の実態を表していない。

不正アクセス等の攻撃があったとしても、実際の被害にまで至らないものもあれば、どこにも相談せず、被害公表もしない、隠れたインシデントも多数存在しているからだ。

そんな中で確実に言えることは、ランサムウェア攻撃の登場により、これまで攻撃に遭遇する可能性が比較的低かった組織も標的になる可能性が高まっているということだろう。

多くのサイバー攻撃では、「攻撃者側が価値を見いだす情報」が狙われる。顧客の個人情報や知的財産、暗号資産などの窃取を目的としているため、こうした情報を保有していたり、サービスを提供している組織が“被弾しやすい”層だといえる。

すると、個人情報を大量に保有していない、先端技術のようなものも扱ってない企業は「われわれは狙われないだろう」と考える。確かに、これまでは価値のある情報を保有する組織よりは確率論的に“被弾”率は低かったと思う。

しかし、ランサムウェア攻撃は、攻撃者にとって価値があると思う情報を狙いに来るのではなく、「被害組織にとって価値があると思う情報」を人質にする戦術のため、これまでのような「狙われることがない組織」というのが理屈上存在しなくなってしまった。

個人にとって大事な思い出である写真、企業の会計データ、在庫の管理システム、そういったものが“人質”に取られるのだ。そのため病院や学校、中小企業など、これまでターゲットになりにくかった組織のランサムウェア被害が相次いでいる。

なぜ「被害の公表」は難しいのか?

こうして誰もがインシデント対応を行う確率が高まっている中で、どのように被害を公表するかは極めて難しい問題だ。

なぜなら、被害情報を伝える相手、伝わる相手先がさまざまで、被害情報の受け手側が求めている情報もそれぞれ異なっているからだ。

「サイバー攻撃被害に係る情報の共有・公表ガイダンス」は、ここに少しでも道筋をつけようとトライしたものである。

「被害の開示」と言っても、被害公表だけでなく、法令に基づく所管省庁への報告・届け出、上場企業であれば適時開示、個人情報漏洩時には影響がおよぶ顧客等への個別通知、取引先への個別連絡など、相手方に応じてさまざまな目的、手段、タイミング、内容のものがある。

さらに公表のタイミングや内容については、攻撃者に利するようなものにならないよう警戒が必要だ。

例えば、攻撃者の目的が、企業が持っている先端技術情報だったとしよう。ただ、侵害拡大経路で、たまたま個人情報が保存されていたシステムを経由したとする。

こうなると、インシデント対応としては、まず個人情報保護法に基づく速報対応(3〜5日以内)と、影響を受ける個人などへの通知または公表を行うことになる。

他方で、今回攻撃に遭った「製品Aの脆弱性を悪用する標的型サイバー攻撃の可能性について」と指摘するレポートをセキュリティ専門企業が公表していたとする。

すると、別の第三者が「被害企業は、製品Aを脆弱なまま使っていたのではないか。もしかしたら、セキュリティ専門企業が指摘していた標的型サイバー攻撃に遭って、個人情報だけではなく機微情報が漏洩した可能性がある」と考える。

なぜなら最近では、ShodanやCensysといったIoT検索サービスを使えば、どの組織がどういう製品をどういう状態でインターネットに面して稼働させているかがわかるからだ。


被害組織は、あくまで法令に基づく個人情報漏洩事案の公表を行っただけなのに、ステークホルダーやメディアは「脆弱性を悪用されて、もっと社会的に大きな影響のある機微な情報を窃取されたのでは?」と推測する。つまり双方で被害情報の扱い方にギャップが発生してしまうのだ。

情報の非対称性を埋めること

このケースでは、制度上の課題や未公表被害の調査、報道等での扱いなど、さまざまな課題が複雑に組み合わさっていて、すぐに被害組織と被害情報を受け取る側との情報の扱い方のギャップを解消することは難しい。

だが、まずはそのギャップによる“摩擦”を減らせるのではないか。

例えば、昨年8月に内閣サイバーセキュリティセンターが攻撃被害を公表した際に、原因を「セキュリティ上の理由」により開示しなかった点に批判が出た。

十数年前であれば、そういう回答でもよかっただろうが、この間に社会全体のサイバーセキュリティへの知見は、さまざまな被害公表や報道により確実に高まった。だから、発表を見た多くの人の対応の「相場観」との間にギャップがあったのだろう。

あくまで筆者の個人的な考えだが、日本では2005年の個人情報保護法施行が大きなインパクトがあったため、サイバー攻撃被害の公表≒個人情報漏洩事故の公表というケースが多く、サイバー攻撃被害組織≒個人情報を漏洩させた組織という認識が潜在的に強いのではないか。

そうした背景が、いわゆる「被害組織批判」を強めてしまっている。サイバー攻撃の被害に遭ったにもかかわらず、オーディエンス(ステークホルダー、メディア、報道を見る人々など)には「被害組織」という認識が希薄で、どうしても被害組織は被害公表に消極的になってしまう。

インシデント対応の「相場感」ギャップを埋めるには

「ニワトリが先か、卵が先か」という議論になるが、より積極的な被害公表が多く行われるようになれば、「どういう種類の攻撃の場合、被害組織はどのくらいのスピード、内容で対応しているのか」という相場観がある程度醸成され、被害組織がとったインシデント対応に対して、より適切な評価がなされるようになるだろう。

現状では、被害組織とオーディエンスの間に情報の非対称性があり、適切な評価が難しい状態にある。この十数年でサイバーセキュリティへの理解度が高まったと言ったが、高度化かつ複雑化する攻撃に対してはまだまだ理解が追い付いていないのが現状だ。

また、ソフトウェア製品の脆弱性を悪用する深刻な攻撃被害が相次ぐ中、多くの企業では脆弱性が公表されても「じゃあ、どのくらいのスピードで修正対応すればいいのか」と判断に悩むケースが多いのではないか。

セキュリティ専門の機関からは「速やかに対応を」と言われるものの、実際のユーザー組織側では、システム停止による顧客や取引先への影響なども考えなければならず、難しい判断を迫られる。

それも被害組織から積極的な公表がなされることで「どういう脆弱性はどのくらいのスピードで悪用されるのか。どのくらいの速さで対応すれば間に合うのか」という知見が社会全体において蓄積されていけば、対応の相場観について、少なくとも今よりはその“解像度”が上がるのではないかと考える。

先に触れた通り、むやみやたらに開示しすぎると攻撃者に利することになったり、第三者の不利益を生んだりする恐れがあり、被害組織がインデント対応の際に参照できる「レファレンス」が必要だ。

まだまだ論点が数多く残る被害公表の問題だが、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」には組織が判断するためのポイントを可能な限り列挙して整理しているので、一読することをおすすめしたい。

(佐々木 勇人 : JPCERTコーディネーションセンター 脅威アナリスト)