ランサムウェア攻撃と情報拡散の二次被害問題を考える
2024年も続発した国内のランサムウェア攻撃被害。KADOKAWAやカシオ計算機が公表したランサムウェア攻撃被害では、「漏洩した情報の拡散行為」を控えるようお願いや注意喚起が付されました。なぜ情報拡散行為が好ましくないのか、サイバーセキュリティの視点から考えます。
参考記事
・2024年上半期における法人・個人に対するサイバー攻撃を解説
・警察庁「2024年上半期サイバー犯罪レポート」で押さえておくべきポイントは?~ランサムウェアと脆弱性~
ご存じの通りランサムウェア攻撃者グループの狙いは「金銭」です。ランサムウェア攻撃は、侵入先の組織のデータを暗号化し事業停止に追いこむほか、その際に窃取した情報を暴露サイトで公開すると脅迫し、被害組織に「身代金」を要求するというサイバー犯罪です。
ランサムウェア攻撃は数年前より猛威を振るっていますが、2024年は直接的には当事者のサイバー犯罪者が関わらない「サイバー犯罪の二次被害」が顕著に表れた年でもありました。それは当事者とは無関係の第三者による情報拡散行為です。
参考記事:ランサムウェアギャングが暴露するデータとどう向き合うべきなのか?
本稿ではランサムウェア攻撃をはじめとするサイバー攻撃と情報拡散の二次被害が議論となった国内事例を3例、紹介します。
①株式会社KADOKAWAのランサムウェア攻撃被害事例(2024年6月公表)
株式会社KADOKAWA(以下、KADOKAWA)2024年6月下旬に発覚したランサムウェア攻撃事例であり、取引先の個人情報など25万人分の情報漏洩被害が発表された事例です。攻撃の概要と当社の考察はこちらの記事をご覧ください。
この事例では、調査状況や被害の状況が逐次公表されていく中で、「サイバー攻撃を行ったとされる組織が公開したものとする情報を拡散する行為に対する警告と、悪質な情報拡散を行う者への法的措置を講じる旨」(同社のプレスリリースより)が公表されました。その後の発表で、悪質と判断した情報拡散行為(SNS・匿名掲示板・まとめサイト等)を“被害組織自ら”が450件以上特定し、投稿内容の削除要請、発信者情報の開示請求を行う事態に至っています。
参考情報
・ランサムウェア攻撃による情報漏洩に関するお知らせ(株式会社KADOKAWA。2024年8月5日公表)
・漏洩情報の拡散行為に対する措置ならびに刑事告訴等について(株式会社KADOKAWA。2024年7月10日公表)
・悪質な情報拡散行為等に対する措置の進捗状況について(株式会社KADOKAWA。2024年7月12日公表)
②株式会社ゲームフリークの不正アクセス被害事例(2024年10月公表)
人気キャラクターゲーム開発会社として知られる株式会社ゲームフリーク(GAME FREAK、以下ゲームフリーク)が第三者による不正アクセス被害を受け、2024年10月に被害を公表した事例です(被害の発生は2024年8月)。同社の公式発表では、従業員の情報など、約2,600件の個人情報の漏洩被害があったと報告されています。
この公式発表とは別に、次回作のゲームに関する情報などが漏洩したとする投稿がSNSでなされ、一部の国内外メディアが漏洩内容を報道する状況となっています※。
※SNSの投稿内容や報道内容について、被害組織からは見解が公表されておらず、現時点では真偽不明です(2024年10月17日現在)。
参考情報:不正アクセスによる個人情報えいに関するお知らせとお詫び(株式会社ゲームフリーク。2024年10月10日公表)
③カシオ計算機株式会社のランサムウェア攻撃被害事例(2024年10月公表)
カシオ計算機株式会社(以下、カシオ)が2024年10月に公表したランサムウェア攻撃の被害事例です。現在被害規模を調査・特定中ではあるものの、従業員や取引先の個人情報などの情報漏洩の可能性について言及しています。この公表内容では、同社からのお願いという形で、漏洩した情報の拡散行為を控える注意喚起が付されています。
参考情報:当社におけるランサムウェア被害に伴う サービスの一部停止と情報漏えいに関するお知らせ(カシオ計算機株式会社。2024年10月11日)
漏洩した情報拡散行為のデメリット
前述した通り、ランサムウェア攻撃に代表されるサイバー犯罪により攻撃者に窃取された情報は、暴露サイトなどに一部または全部公開されるケースがあります。ただ、下記の記事でも言及した通り、暴露サイトの情報はダークウェブ※やサーフェイスウェブ、また攻撃者が運営するSNSアカウントなどで公開されており、一般のネット利用者でも目にする可能性があり得ます。
※匿名性保持や追跡回避を実現する技術を使用し、一般のインターネット空間上に構築されているウェブコンテンツやネット空間。ディープウェブの一部。
参考情報:ランサムウェアギャングが暴露するデータとどう向き合うべきなのか?
すでに「サイバー犯罪者がネット上に公開した漏洩情報」をさらに拡散する行為、つまり「すでに公知となっていると考えられる漏洩情報をさらに拡散すること」には、どのようなデメリットがあるのでしょうか?ここでは大きく3つ取り上げます。
①被害組織のインシデント対応力の低下を招く恐れがある
セキュリティインシデント発生直後は、漏洩した情報や被害範囲の特定、侵入経路の特定、情報漏洩被害者や関係組織への確実な連絡、監督組織への報告、システムや業務の復旧計画の整備、社会的説明責任など数々の業務を限られた時間内で行う必要があります。当事者ではない第三者による情報拡散行為は、「本来、知る必要のない情報を知る必要のない相手に伝える行為」と言い換えることもでき、被害者とは関係のない相手から“不必要な問い合わせやクレーム”が被害組織に行われる可能性があり、結果的に被害組織のインシデント対応力を削ぐ結果になりかねません。実際にKADOKAWAの事例では、匿名掲示板やSNSの監視チームが組織され、さらに情報拡散被害者からの問い合わせ対応の窓口の設置など、過去のセキュリティインシデントでは想定されていなかった業務が発生する事態となっています。
②拡散行為がサイバー犯罪者の優位に働いてしまう恐れがある
先ほどサイバー犯罪者が公開した情報は、一般のネット利用者でも知り得るとしましたが、積極的に情報を探しておらず、触れる機会のない利用者もいます。こうした利用者にも漏洩情報の中身が伝わることによるメリットは、サイバー犯罪者にしかありません。つまり、サイバー犯罪者が公開した範囲以上に、彼らの“行動”や“成果”が広範囲に伝わり、被害組織へのプレッシャーになったり、ランサムウェア攻撃者が被害組織との交渉上の“有利な立場”になってしまう可能性があります。いわば、情報拡散者はサイバー犯罪者の片棒を担いでしまっている状況とも言えるでしょう。
③拡散行為者が漏洩被害者や被害組織から損害賠償請求を受ける恐れがある
攻撃者によって公開された情報の中に個人情報が含まれており第三者が拡散した場合、個人情報の保有者のプライバシー侵害行為にあたる恐れがあり、被害者から拡散行為をした者に損害賠償請求が行われる可能性があります。また、ゲームフリークの事例のように、本来営業秘密※と思われる機密性の高い情報や著作権で保護されている情報を拡散した場合にも、被害組織から拡散者が損害賠償請求を受ける可能性があります。
※不正競争防止法では、営業秘密を有用性(事業活動上、経費の節約や経営効率の改善に役立つこと)、秘密管理性(秘密管理措置が取られ、その意思が従業員に周知されていること)、非公知性(管理者以外では一般に入手できないこと)の要件がそろった情報であるとしている。攻撃者によって情報がネット上に公開された時点で要件の1つ「非公知性」を失っており拡散行為は不正競争防止法違反には問えないものの、他人の権利や利益を侵害した不法行為に対する民法上の訴訟は可能ではないかという見方がある。
私たちは何に気を付けるべきか
ここまでサイバー犯罪者が公開した情報を拡散する行為のデメリットを3つ取り上げてきましたが、セキュリティインデントに関する情報を発信する際に「公知となった情報の出所がサイバー犯罪者によるものである」、そして「標的とされた組織は被害者である」という点は押さえておく必要があります。
「当たり前ではないか」という声も聞かれそうな基本事項ではありますが、セキュリティインシデントに関する情報は、あくまで対策の強化や攻撃手口の分析のために共有・活用されるべきものであり、それ以外の情報は本来関係者以外の人にとっては不要のはずです。
結果的にサイバー犯罪者を助長してしまうことや、二次被害の加害者になってしまうこともあるため、サイバー犯罪により公知になった情報の取り扱いにはご注意ください。もし、そのような行為をしようとしている方を見かけた場合は、ぜひ上記のことをお伝えいただければと思います。
<関連記事>
・ランサムウェアギャングが暴露するデータとどう向き合うべきなのか?
・2024年上半期における法人・個人に対するサイバー攻撃を解説
・2024年第3四半期のセキュリティインシデントを振り返る
・事例にみる国内に被害をもたらす2大ランサムウェア攻撃者グループ
Security GO新着記事
ソブリンクラウドとは?プライベートクラウドやガバメントクラウドとの違いを解説
(2024年11月5日)
VPN機器の脆弱性はなぜ管理しづらいのか~ネットワークエンジニアの立場から探る
(2024年11月1日)