サイバー攻撃の被害を報告すべきなのか、隠すべきなのか

組織が最も恐れるべきサイバー攻撃はランサムウェアだ。被害があまりに大きいため、攻撃を受けたこと自体を隠す傾向がある。隠すと得をすることもあるが、本当に得なのだろうか。

[Matt Kapko，Cybersecurity Dive]

　事例から何かを学ぶためには、そもそも事例が公開されていなければならない。これはランサムウェア攻撃でも同じだ。ランサムウェア攻撃を受けた企業や組織は顧客対応やシステムの復旧に忙しく、報告が遅れたり、そもそも報告しなかったりする。自らの評判を気にして隠し立てする動機もある。

そもそもどこに報告すればよいのか

　国内では2022年4月に施行された改正個人情報保護法で報告義務を定めた。

　情報漏えい時に、個人情報保護委員会への報告と利用者への通知が義務付けられている。保護しなければならないデータを暗号化していなかった場合は、情報の漏えいが判明した後、3〜5日以内に速報を出し、調査を進めて30日以内に確報を提出する必要がある。顧客や関係者にも通知する必要がある。なお、高度な暗号化などの措置を施していた場合は、報告義務の対象から外れる。

米国ではどのような取り組みを進めているのか

　米国ではサイバー攻撃の報告についてどのような取り決めがあるのだろうか。米国に支社や販売拠点の他、サーバなどを置いている企業は米国の取り組みについても知っておく必要がある。

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）のエリック・ゴールドスタイン氏（サイバーセキュリティ担当執行副局長）は次のように語る。「重要なのは被害を受けた組織ができるだけ早く、ランサムウェア攻撃を含む全てのサイバー侵害をCISAまたはFBIに報告することだ」

ランサムウェア攻撃の被害について報告する4つのルート

　攻撃を報告するための連邦政府のチャンネルは4つある。

・CISAのインシデント報告システム（注1）
・FBIの苦情紹介フォーム（注2）
・米国シークレットサービスの地域オフィス（注3）
・インターネット犯罪苦情センター（注4）

　この中で、まずCISAかFBIに報告すべきだ。両機関は連邦政府によるランサムウェアの報告および対応を主導する。

　インターネット犯罪苦情センター（以下、IC3）はFBIにおけるサイバー犯罪報告の中心に位置するハブだ。IC3は全ての報告に直接対応することはできないが、組織からの報告はFBIによる傾向と脅威の追跡に役立つ。

誰が報告すべきなのか

　当局は、全ての企業や組織に対して、ランサムウェア攻撃を受けたことをできるだけ早く報告するように奨励する。

　現在は2024年4月までにCISAから提出される予定の最終文書を待っている状況だ。2022年に議会で可決された法律に従い、電力やガス、鉄道、空港などの全ての重要インフラは（注5）、重大なサイバー攻撃を72時間以内にCISAに開示し、身代金の支払いについて24時間以内にCISAに通知することが義務付けられる予定だ（注6）。なお2024年4月28日に日本で閣議決定された重要インフラに関するサイバー対策では、導入設備の事前審査を扱っており、報告に関しては新味がない。

　米国では一部の業界における組織が、組織の規則に従ってサイバー攻撃について規制当局に報告する義務を有する。規制当局は、他の業界においてもより厳格な報告要件を求めている段階だ。

　2023年の初め、連邦通信委員会は、電気通信ネットワーク事業者におけるデータ侵害の開示方法と開示時期を変更することを全会一致で決定した（注7）。この変更が採用されるまでは、15年以上前に定められた規則しかなかった。規則の内容は、企業が侵害を発見した場合、7日以内に米国シークレットサービスとFBIに通知することを定めていた。

　2023年3月に証券取引委員会（以下、SEC）が提案した規則により（注8）、ブローカーやディーラー、決済機関、その他の金融サービスプロバイダーは、サイバーセキュリティインシデントをより迅速にSECに開示しなければならなくなった。

なぜ行政への報告を急がせるのか

　ランサムウェア攻撃を公表する法的義務がない組織には、ランサムウェア攻撃を秘密にする理由がある。

　攻撃を受けた組織に対する非難や中傷を止めさせるための業界全体の取り組みがあるにもかかわらず、いまだに被害者は風評被害や経済的な損害を受けている。これが被害について名乗り出ることを妨げている。

　米当局は、民間組織からの政府機関に対するサイバー攻撃の報告は全体のうちの25〜30％に過ぎないと推定した（注9）。この報告率の低さが、CISAを含む機関によるランサムウェア活動の正確な測定を妨げる（注10）。

　サイバー当局に報告するとメリットがあることを理解していない組織も少なくない。サイバー当局は報告した組織に対して、暗号化を解除できる可能性のある暗号鍵や敵の戦術に関する情報、インシデント対応のサポートなどのリソースを提供できるからだ。

　「インシデントの報告を受けると、CISAは他の組織を保護するための情報共有ができる。攻撃者が（最初に報告があったものと）同じ技術を使用して次々と攻撃や侵入を繰り返すことを防止できる。多くの組織がインシデントの報告に消極的だということを認識している。だが、報告が当たり前になり、被害者が対応と回復に必要なサポートを受けられるように変わっていく必要がある」（ゴールドスタイン氏）

　データセキュリティ企業BlackFogの最新調査によると、2022年におけるランサムウェア攻撃の件数は一時減少傾向にあったものの、報告が不十分だという傾向はそのときも増えていた（注11）。

　BlackFogのダレン・ウィリアムス氏（CEO兼創設者）は次のように述べた。「報告されていない攻撃を考慮に入れると、実際には攻撃の数が増加しているだろう」

　「報告を遅らせると、ニュースの見出しに社名が出ない。つまり、サイバー攻撃を受けたという汚名を回避する動機が生まれる」（ウィリアムス氏）

　このような理由からランサムウェア攻撃に関する報告を避ける動きは、複数の業界や組織に共通している。

　「ほとんどのビジネスリーダーは、社内が誰かに荒らされたらすぐに警察を呼ぶだろう。しかし、デジタル資産がサイバー犯罪者によって盗まれた場合、通報をためらう」（ウィリアムス氏）

　サイバー攻撃は自動化が進み、攻撃が成功した場合は同じ攻撃を複数のターゲットに繰り返す傾向にある。自社だけが損をしたくないという動機を、業界や社会全体を損害から守ることで自社も守られるという防護の仕組みで抑え込む必要がある。

出典：Why and how to report a ransomware attack（Cybersecurity Dive）

注1：Incident Reporting System（CISA）

注2：Who is Filing this Complaint?（FBI）

注3：Field Offices（United States Secret Service）

注4：Internet Crime Complaint Center (IC3)（FBI）

注5：Congress adds historic cyber incident reporting rule to massive $1.5 trillion package（Cybersecurity Dive）

注6：What cyber incident reporting rules mean for critical infrastructure（Cybersecurity Dive）

注7：FCC revives push to speed up telecom incident disclosures（Cybersecurity Dive）

注8：SEC proposes cybersecurity disclosure rules for financial industry specialists（Cybersecurity Dive）

注9：What cyber incident reporting rules mean for critical infrastructure（Cybersecurity Dive）

注10：CISA can’t definitively say if ransomware is getting better or worse（Cybersecurity Dive）

注11：BlackFog State of Ransomware Report（BlackFog）