2024年11月13日
(丸の内中央法律事務所報No.45, 2024.8.1)
昨今、世界中でサイバー攻撃による被害が増加しております。
日本でも、大企業はもちろん、中小企業や医療機関などもターゲットとされたサイバー攻撃が相次いでおり、事業活動に深刻な被害を与えております。
国立研究開発法人情報通信研究機構(NICT)の調査によると、サイバー攻撃に使用された通信数(パケット)は増加傾向にあり、2015年と比較すると通信数は9.8倍となっており、さらに、2023年は過去最高の観測数を記録するなど、サイバー攻撃が活発化していることが分かります。
引用:令和6年版情報通信白書(総務省)より
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r05/html/nd24a210.html
主だった攻撃手段としては、IoT機器(Webカメラ、ルータ等)を狙った攻撃が多く観測されており、サイバー攻撃関連通信全体の約3割を占めております。
これは、企業システムそのものについては十分なセキュリティ対策が施されていることが多いものの、企業システムと連携しているIoT機器(Webカメラ、ルーターなど)については、インターネットに接続されているにもかかわらず、パスワードが設定されていない、あるいは、初期設定のまま運用されていることが多いため、そういったセキュリティが十分ではないIoT機器が踏み台として狙われているためです。
IoT機器が踏み台にされると、当該IoT機器からウイルスの感染が広がり、企業システムにも侵入される突破口となってしまいます。
そして、実際にサイバー攻撃を受けてしまった場合、企業には以下のような深刻な被害を受けることになります。
◆機密情報を奪われる、機密情報を公開しないことに対して身代金を要求される。
◆システム内の情報が暗号化されて情報にアクセスできなくなる、暗号化を解除するための身代金を要求される。
◆顧客や取引先の信用を失う。
◆復旧や原因究明に膨大な費用が必要となる(警視庁の行った調査によると、令和5年度の被害のうち、復旧に1000万円以上を必要としたケースが30%以上あり、また、5000万円以上を必要としたケースも8%以上ある)。
◆完全に復旧するまでに多大な時間と費用がかかる。
◆一度感染したり、身代金を払うと再度狙われやすくなる。
なお、トレンドマイクロ社が実施した調査によれば、日本では2021年度1年間で発生したセキュリティインシデントに起因した1組織あたりの年間平均被害額は約3億2850万円になると算出されております。
参照:サーバーセキュリティに関する問題が引き起こす経済的損失(令和6年版情報通信白書(総務省))
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r05/html/nd24a220.html
(2)有事の際の対応について
実際にサイバー攻撃を受けてしまった場合は、関係機関や専門家との連携を密に行いつつ対応をする必要があります。
具体的な技術的対応や、法律上の留意点については、以下の公表資料が参考になります。
◆サイバーセキュリティ関係法令Q&A ハンドブック Ver2.0
https://security-portal.nisc.go.jp/guidance/pdf/law_handbook/law_handbook_2.pdf
◆侵入型ランサムウェア攻撃を受けたら読むFAQ
https://www.jpcert.or.jp/magazine/security/ransom-faq.html
また、身代金の支払要求については、次に掲げるような理由から、身代金の支払いをすべきではないと一般的にはされております。
①暗号化されたファイルが復元される保証や、窃取されたファイルが公開されないことの保証がないこと
②被害原因や侵害による他の被害は未解消のままであること
③支払いに応じてしまうと、更に別の攻撃や支払い要求を受ける恐れがあること
④国によっては、「身代金」の支払がテロ等の犯罪組織への資金提供であるとみなされ、金銭の支払いを行った企業に対して制裁が課される可能性もあること
過去の調査では、16%の企業・組織が身代金の支払いに応じたことがあるとの結果も出ておりますが、身代金の支払いについては会社役員の会社に対する任務懈怠責任(会社法第423条)が株主から追及される可能性もある点に注意が必要です。
総会屋に対して利益供与を行ったことが問題となったケース(最判平成18年4月10日民集60巻4号1273頁)では、「会社経営者としては、...(中略)...株主の地位を濫用した不要な要求がされた場合には、法令に従った適切な対応をすべき義務を有する」として、約300億円という巨額の金額を総会屋が経営する企業に対し交付することを提案・同意した役員の過失について、「やむをえなかったものとして過失を否定することは、できない」とされていることから、ランサムウェアによる「身代金」の支払い要求の場合についても、同様の考えがなされる可能性が高いものと考えられます。
2020年に経済産業省サイバーセキュリティ課から提示された注意喚起(https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_uchu_sangyo/pdf/001_07_00.pdf)でも、攻撃を助長しないためにも金銭の支払いは慎むべきものであると示されているほか、海外政府機関からも、身代金の支払いを推奨しないメッセージが示されていることに注意が必要です。
サイバーセキュリティ経営を実践するための具体的な取り組みについて、政府等は企業規模に応じて以下のようなガイドラインを設けていることから、こうしたガイドラインを参照しつつ、サイバーセキュリティ対策を講じることが必要です。
◆サイバーセキュリティ経営ガイドライン Ver3.0(経済産業省)
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf
◆中小企業の情報セキュリティ対策ガイドライン(独立行政法人情報処理推進機構)
https://www.ipa.go.jp/security/guide/sme/about.html
◆小さな中小企業とNPO向け情報セキュリティハンドブック(内閣サイバーセキュリティセンター)
https://security-portal.nisc.go.jp/guidance/blue_handbook.html
◆サイバー攻撃を受けた組織における対応事例集(内閣サイバーセキュリティセンター)
https://www.nisc.go.jp/pdf/policy/inquiry/kokai_jireishu.pdf