内部不正による情報漏えいとその対策【セキュリティ文明開化vol.4】

国際共同捜査の成果もランサムウェアの抑止は限定的

今年2月20日、欧州警察機構（ユーロポール）が主導し、日本も参加した国際共同捜査でサイバー犯罪集団「ロックビット（LockBit）」の主要メンバーが摘発され、サーバーも閉鎖されたとの報道がなされました。あわせて警察庁サイバー特別捜査隊がロックビットのランサムウェアに感染し暗号化されたデータを復号化するツールを開発したと発表しました。しかし、いずれの発表もぬか喜びだったようです。閉鎖されたはずのロックビットのウェブサイトが2月27日にはダークウェブ上で再開されました。捜査に加わったFBIへの挑発や米国政府への報復を表明しているそうです。また、警察庁が発表した復号化ツールも万能ではありません。

別記事「ランサムウェア被害で身代金を支払うべきでない3つの理由」でも述べましたが、暗号化されたファイル名が70バイトを超える場合は復号化できる可能性がほぼないのです。暗号化したロックビットでさえ復号化できないのですから、警察庁がいかに優秀だとしても復号化は不可能です。

日本企業の場合は、傾向的にファイル名に漢字を使用するなどファイル名が長いのが特徴ですので、欧米の企業と比べても復号化率は低くなります。万一ランサムウェアに感染した場合は、ダメ元で警察庁サイバー特別捜査に相談してみるのもいいかもしれません。運が良ければ7割、8割のファイルは復号化できるかも知れません。いずれにしても万一に備えてファイル名の命名規約の見直しをしてみるのがいいでしょう。

IPA今年の情報セキュリティ10大脅威

セキュリティに関心のある方ならIPA（独立行政法人情報処理推進機構）が毎年1月に発表している「情報セキュリティ10大脅威」はご存知でしょう。「情報セキュリティ10大脅威2024」は2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案からIPAが脅威候補を選出して情報セキュリティ分野の研究者や企業の実務担当者など、約200名からなる選考会が投票で決めています。

「組織」向け脅威の第1位はやはり「ランサムウェアによる被害」でした。強迫の手口も進化しているようで１.データを暗号化する。２.身代金を支払わなければ情報を公開する。３.ランサムウェアに感染したことを被害者の利害関係者に連絡する。それでも身代金を支払わなければ４.DDoS攻撃を仕掛けると脅すといった「四重強迫」が当たり前のように行われています。

捜査当局が手を出しにくい機密情報漏えい

第3位は、「内部不正による情報漏えい等の被害」です。従業員や元従業員等の組織関係者による機密情報の持ち出しや社内情報の削除等の不正行為がそれに該当します。組織関係者による不正行為は、組織の社会的信用の失墜や損害賠償や業務停滞による経済的損失につながる深刻な問題です。IPAの解説書ではコールセンターの派遣社員が10年間にわたって顧客情報を持ち出し、名簿業者に販売し1000万円以上の報酬を受け取っていた例や、従業員が転職する際に名刺情報管理システムへログインするためのIDとパスワードを転職先の従業員と共有していたという個人情報保護法違反の例が挙げられています。

これら漏えいした情報が個人情報だという場合は犯罪行為として分かりやすいのか、捜査当局も積極的に動いてくれるようです。ただ漏えいした情報がその企業にとっての「機密情報」だという場合は、様子が違ってきます。漏えいした情報が「機密情報」だということになれば不正競争防止法が適用されるため捜査当局も動いてくれるでしょうが、不正競争防止法の「営業機密の侵害」が適用されるかどうかの判断について相当な時間がかかるようです。

まずは、ラベリングを徹底しましょう

「内部不正による情報漏えい等の被害」についてIPAの解説では、「対策と対応」として内部不正者に対する懲戒処分などを規定した基本方針を定めた上で、「資産の把握、体制の整備」として情報資産を把握し、その重要度をランク付けした上で重要情報の管理者を決める。そのうえで「重要情報の管理、保護」として重要情報の利用者IDおよびアクセス権の登録・変更・削除」に関する手順を定めて運用するとしています。

これに加えて私からは、ラベリングの徹底を付け加えておきたいと思います。

ラベリングとは文字通りその情報が重要情報か否かを示すマークのことです。ラベリングは、情報セキュリティマネジメントシステム（ISMS）でも定めています。

ISMSの管理策であるISO/IEC 27002:2022 の5.13 Labelling of informationには次のような記述があります。

Purpose：
To facilitate the communication of classification of information and support automation of information processing and management.
管理目的：
情報の分類の伝達を容易にし、情報処理と管理の自動化をサポートするため。

Control：
An appropriate set of procedures for information labelling should be developed and implemented in accordance with the information classification scheme adopted by the organization.
管理策：
情報のラベル付けに関する適切な一連の手順は、組織が採用した情報分類体系に従って策定し、実施することが望ましい。

政府の委員をしていると配布される資料には必ず「機密性情報２」などのラベリングがされているのを目にします。「機密性情報２」とは、配布された資料が「関係者限り」であることを明示するためのものです。配布された側も自ずとその資料の取り扱いには慎重にならざるを得ません。これがラベリングですが、民間企業の場合はラベリングが適切に運用されているのをほとんど見かけません。

ラベリングは配布資料にとどまりません。オンラインで表示される画面やデータそのものにも付けられています。データそのものにラベリングするのはシステムの改修コストもかかりますので、またの機会にするにしても、画面に表示することは早急に取り組むべきことです。画面に表示することで、今見ているあるいは入力しているデータが当社にとって「機密データ」であることを認識させてくれますし、犯罪の抑止にもなるはずです。

内部犯行の予防は企業にとって頭の痛い問題です。これさえやっておけばという万能薬もない中で、ラベリングが万一の場合に役立つかも知れません。

（了）

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。