ランサムウェア攻撃を受けたら・・・!? 緊急時の対応とそれを見据えた事前対策
弁護士 幸尾 菜摘子
ランサムウェアは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた名前(造語)が表すとおり、不正アクセスによってサーバ内に侵入し、保存されているデータを暗号化して読み取りが出来ない状態にするなどし、その解除と引き換えに身代金を要求するマルウェアです。
ランサムウェアによる被害は(独)情報処理推進機構が公表する情報セキュリティ10大脅威において4年連続1位にランキングされています。1 被害報告も年々増加しており、警視庁公表資料によると、令和6年上半期も前年と同水準で被害が発生しています。
中小企業の経営者・従業員の方は、自社は規模が小さいので狙われないだろうと思われるかもしれませんが、中小企業がランサムウェア攻撃を受け、そこから大手取引先も感染するという事例も散見されますので、ご注意いただく必要があります。
万が一ランサムウェア攻撃を受けた場合、企業は様々な対応を迫られます。
まず、現状把握と被害拡大防止のため、専門業者に依頼して、侵入ルートを特定し、攻撃者によるデータ持ち出しがあるかなどを解析してもらいます。それと並行して、暗号化されたデータを、バックアップから復元する作業も依頼します(自社で可能であれば、すみやかに自社で復元)。
この点、攻撃者からは身代金を支払えばデータの暗号化を解除する、身代金を支払わないならデータを第三者に流出させる…などというメッセージが送られてきますが、攻撃者に身代金を支払ってデータを解放してもらうという選択は避けましょう。支払によってデータが解放される保証はありません。犯罪者に収益を与えることになってしまいますし、攻撃者の属性によっては外為法やテロ資金提供処罰法に反することになり支払自体が犯罪行為になることがあります。
また、ランサムウェア攻撃によってデータが損壊又は漏洩された場合、そのデータに個人情報が含まれていると、個人情報保護委員会への報告義務を負うことがあります。2 発覚後“速やかに”報告する必要があり(個人情報保護法26条1項、同規則8条1項)、個人情報保護委員会は報告遅延がないか注視しますのでご留意ください。3 4 また、監督官庁に対する報告義務を負うこともあります。例えば、医療機関であれば厚労省に対し、金融分野であれば金融庁に対し、報告義務を負います。5 その他、上場企業の場合、適時開示も検討する必要があります。
さらに、取引先や顧客、ユーザー等への対応も必要です。データへのアクセスが制限されると、あらゆる事業活動が停止してしまいます。すみやかに現状や復旧の目途を可能な範囲で説明し、必要があれば交渉しなければなりません。特に債務不履行リスクがある場合は要注意です。事案によっては自社サイト等での公表も検討します。
対策その1 セキュリティ対策
OSやアプリケーションを常に最新の状態にし、セキュリティソフトを導入しましょう。警視庁公表資料によると、感染経路はVPN機器が47%、リモートデスクトップ36%と、リモートワークに用いられる機器・システムが83%を占めますので、リモートワークでこれらを採用されている企業の方は、特に注意をしましょう。メールが感染経路となっているものは2%と少ないですが、不審なメールを開封したことによるマルウェア感染の報告はいまだ頻繁に見受けられますので、不審なメールを開封しないなど社内教育も定期的に行いましょう。
いまやデータにアクセスできなくなると、あらゆる事業活動が停止してしまうので、データ復元は急務といえます。ただ、警視庁公表資料によると、バックアップからのデータ復元ができなかった事案が75%と大半に上ります。バックアップデータをネットワークから物理的に切り離して保管することが推奨されています。
対策その2 緊急時の対応体制の構築
ランサムウェア攻撃を受けた場合、前述のとおり、様々な対応を迅速に進める必要があります。そのため、平時から緊急時に対応する社内体制を整え、ToDoリストを事前に整理し、外部業者の目途を立てておくことをお勧めします。法的な対応も多いため、早急に相談・対応できる弁護士も、緊急連絡先の一つに含めていただいた方がよいです。
対策その3 サイバーセキュリティ保険
ランサムウェア攻撃を受けた場合、専門業者への侵入ルート解析費用やデータ復旧費用、顧客への損害賠償など多額の費用が発生しますので、それらの費用をカバーする保険(いわゆるサイバーセキュリティ保険)に加入することも検討しましょう。保険会社によっては、実際にランサムウェア攻撃を受けた場合に緊急相談ができる窓口を設け、専門業者の紹介もしてくれることもあります。前述した緊急時の対応体制や外部業者への連絡体制としても活用できます。
なお、日本のサイバーセキュリティ保険は、海外のものと異なり、攻撃者に対する身代金支払について公序良俗違反等の観点から補償対象外としています。前述のとおり攻撃者に対する支払は避けるべきですが、補償対象外である点からも支払いは避けるべきと考えます。
以上のような各種対策をとらないと、取締役が善管注意義務違反やサイバーセキュリティ対策構築義務違反(内部統制システム構築義務の一内容)(会社法362条4項6号ほか、同施行規則100条ほか)を問われることもあります。また、攻撃当時の水準に照らして相当な対策をとっていなかったことにより被害が発生ないし拡大した場合、帰責性や過失が認められ、会社が取引先等に対し債務不履行責任や不法行為責任を負うこともあります。6 今一度、対策を見直しましょう。
1 独立行政法人情報処理推進機構「情報セキュリティ10大脅威」(https://www.ipa.go.jp/security/10threats/index.html)
2 ランサムウェア攻撃により個人データ(個人情報が含まれているデータベースで特定の個人情報を容易に検索可能なもの等(個人情報保護法16条1項)を構成する個人情報)が漏洩した場合(又は漏洩のおそれがある場合)又は毀損された場合(又は毀損のおそれがある場合)、個人情報保護委員会への報告義務を負います(個人情報保護法26条1項、同規則7条3号)。バックアップデータからデータを復元できれば「毀損」には該当しませんが、データを閲覧又は窃取された可能性が否定できない場合は「漏えいのおそれ」に該当し得ます(小和田敦子「漏えい等報告書提出後の対応」(NBL1267号55頁))。
3 ランサムウェア攻撃により個人データを暗号化された場合の個人情報保護委員会への報告に関しては、坪田法「不正アクセス事案(その1)-ランサムウェア攻撃が発生した事案への対応-」(NBL1269号47頁)も参考になります。
4 個人情報保護委員会への報告に加え、本人への通知等も必要です(個人情報保護法26条2項)。
5 「医療機関等におけるサイバーセキュリティ対策の強化について」(平成30年10月29日付け医政総発1029第1号・医政地発1029第3号・医政研発1029第1号厚生労働省医政局関係課長連名通知、金融分野ガイドライン第 11 条第1項
6 契約書作成の際、免責条項等に「サイバー攻撃」を明記することもお勧め致します。ただし、明記しても重過失相当の対応不備があれば免責等がなされないこともあると解釈されることもありますので、ご注意ください。