情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2022年2月14日号
***************************************************************
改正個人情報保護法で会社存続の危機になる可能性
***************************************************************
2020年6月に改正された【個人情報保護法】が、今年4月に施行される。
改正の内容には、個人の権利を強化する内容などがあり事業者等は改正内容をきちんと理解して
おく必要がある。
しかしそれ以上に企業として意識しなければならない注意する点がある。
改正した内容には「事業者の義務を強化」した内容があり、罰則も強化されている。
これは個人情報の不適切な利用を禁止し、漏えい等の事故発生時には個人情報保護委員会と
本人への報告が義務化される。
万一これらを怠り、命令違反と判断されてしまうと罰金が「最大1億円」になり、今まで最大で50万
円以下だった事からすると、大幅に引き上げられた。
例えば、情報漏洩、流出が発生したにも関わらず、その状況を把握できていない場合、状況把握が
不適切で実際の流出数と大幅に違う虚偽報告と考えられる報告をしている場合、情報流出の状況
を隠蔽しようとする場合など、様々なケースが存在する。
今年に入りSIPSで確認したサイバー闇サイトでの日本企業の流出情報の売買は100件以上が
確認されているが、流出情報には個人情報が多く、これらの情報流出をしている企業は、このまま
放置していると4月に改正施行される個人情報保護法により指導対象となり、警告、罰金の該当
事項になってしまう事になる。
もちろん情報が流出した場合、決められた対応をきちんと行っていれば罰金までの対象とはならない
ものの、万一罰金を受ける事態になると、企業にとって流出事故の対応費用に加え、多額の罰金
支払いといった大きな損出を出すことになる。
中小企業であれば企業の存続まで危ぶまれる事になってしまう。
一般的に情報漏洩・流出事故が発生すると、企業のセキュリティ担当者もしくはシステム担当者が
その責任を問われる事が多いのが特に日本の現状である。
企業の上席者は責任を担当者に強いるため、担当者は何かあった時に隠蔽する傾向がある。
情報流出事故が発生したとニュースになれば、悪者であるかのように騒ぎ立てる外部の第三者達。
「流出事故など起きるはずがない」「サイバー攻撃など受けるはずがない」と高を括る考え方は、ある
意味安心・安全な日本の文化を象徴しているが、現実のサイバー空間は安全ではなく、高度な
技術を持つサイバー攻撃者達が次々に攻撃してきて、ほとんどの企業はそれを守る事は難しいので
ある。
日本企業へのサイバー攻撃は2社に1社以上、つまり50%以上の企業はサイバー攻撃を受けている
というデータもあり、大半の企業が被害を受けている可能性があるということになる。
まして操作ミスなどによるメールの誤送信なども加えれば、流出がない企業を探す方が大変だろう。
流出事故が起きるはずはない・・・などというのは過去の考え方であり、今ではサイバー攻撃や事故が
起きるのが当たり前の状況にあるという事を理解しておかなければならない。
では流出事故が発生するとどうなるか?確かにメールアドレスが流出したというだけであれば、不正
利用といっても大きな被害はないかもしれないが、メールアドレスを利用されてフィッシング攻撃が発生
すると様々な個人情報が流出することになる。
2月8日、旅行会社大手のHISはベトナム子会社の運用するサーバがサイバー攻撃を受け、最大
1,846名の個人情報が流出し、その中には氏名、性別、生年月日、パスポート情報などが含まれて
いるという。
中国やロシアのサイバー闇市場では日本人のパスポート情報が盛んに売買されているが、これはHIS
だけの問題ではなく、他の様々なところからも流出しているという事になる。
パスポートに限らず免許証、保険証、マイナンバーなども大量に流出している。
これらの顔写真を修正変更するプログラムまで売買されていて、これらを使えば、流出した本人になり
すましサイバー犯罪が可能になる。
クレジットカード、ネット銀行、証券口座、各種アカウントなどを新規作成する時の本人確認書類に
利用されれば、自分の名前を使ったクレジットカードや各種口座、アカウントが出来てしまい、それらを
利用されれば不正利用など簡単に実行できるのである。
中国闇市場では、世界中の人間の情報データベースが作られていて、氏名、住所、生年月日、から
メールアドレス、電話番号、免許証、パスポート、クレジットカード、銀行口座等々、一人の人間の
詳細情報が収集されてデータベース化されているのである。
メールアドレスの流出程度であれば大きな問題ではない、と重要視しない人がいるが、実はサイバー
闇市場のサイバー犯罪に情報提供していることになり、つまり加担していると言われても不思議では
ないのである。
企業を狙うサイバー攻撃のほとんどは、各種脆弱性を狙われてサーバの管理者権限を奪われ、内部
にバックドアのような不正プログラムを設置され、結果内部の情報は流出する。
日本では、利用するシステムの脆弱性を修正しない企業がほとんどであり、攻撃被害を受けるのも
もっともである。
攻撃者がランサムウェアグループであれば、流出した内部データを含むシステムを暗号化されて脅迫され
流出情報公開を逆手に取り、身代金を要求してくるという事になる。
ランサムウェア攻撃は、昨年も多数の日本企業が被害を受けていて、10月末にランサムウェア攻撃を
受けた徳島県の半田病院は、被害の全貌を開示し日本中に注意喚起を呼びかけた。
しかし、それでも年末年始には次々に企業や団体がランサムウェア攻撃による被害を受け、今月は
5日、愛知県のPCR検査管理システムがランサムウェア攻撃によって被害を受けた。
半田病院の必死の注意喚起も聞かず、被害を受けてから、慌てても「後の祭り」である。
北朝鮮では今年に入り盛んにミサイルの発射を行っているが、コロナ禍で世界経済がひっ迫する中、
多額の費用が必要になるミサイル発射が行えるのが疑問に思う方はいないだろうか?
これは、北朝鮮の政府系サイバー軍が世界中に侵入し密かに活動している事が挙げられる。
そして世界中の暗号資産取引所から外貨を盗み出し、その額は昨年だけでは国連安全保障理事
会の報告書では約58億円、米国のブロックチェーン調査会社であるチェイナリシスの調査では455億
円と報告されている。
そしてこれらは当然、核・ミサイル開発などの重要な資金源になっていると考えられる。
SIPSによる調査でも日本の暗号資産取引所に対するサイバー脅威情報は、多数確認していて、
特に昨年末にかけて多くの情報がサイバー闇市場に存在していた。
おそらく日本の暗号資産取引所も相当な額が不正流出していると考えられる。
このように今では民間のハッカーだけではなく、国家政府が保有するサイバー軍までもが攻撃を加え
てきているのである。
ロシアとウクライナの緊迫した軍事行動のニュースは耳にする事が多いと思うが、ここでも裏ではサイバー
戦が繰り広げられている。
1月14日にはロシアがウクライナ政府機関のWebサイトを攻撃し、サイト上に「最悪の事態に怯えて
おけ」というメッセージを表示させている。
2月4日には、ロシアプーチン大統領と中国習近平国家主席が会談し共同声明を発表しているが
その中には両国が国際情報セキュリティに関する脅威に対応し、新しい基準の政策を開発するとも
発表している。
一方ロシア側も様々なサーバがハッキングされて情報が流出しているのである。
これらはロシア、ウクライナ、中国または別国の政府系ハッカーが攻撃していると考えられていて、サイバー
闇空間にはロシアやウクライナ、それ以外の国に関する様々な機密情報も多数存在しているのである。
さて、このようなサイバー空間の状況の中で、各企業や団体はどこまで自らを守る事ができるだろうか。
サーバがハッキングされて情報が流出している事も分からない状況で、永遠に情報を流出させる。
攻撃を受けても「調査の結果、情報流出はありません」と開き直り、再び同じことを繰り返す・・・
今までのサイバー関連の緩い日本の法体制が整備され、4月以降順次厳しい制約が出てくる事が
予測されるが、これらに対応できない企業は、自ら首を締めることになる。
4月から改正施行される個人情報保護法の内容は今一度確認しておかなければならない。
個人情報保護法によって会社が倒産した・・・などという事が無いようにきちんと準備を進めたい。
---------------------------------------------------------------------------------
<参考URL>
日経XTECH:2022/1/22
半数以上の日本企業がランサム被害に、セキュリティーの「常識」を見直せているか
https://xtech.nikkei.com/atcl/nxt/column/18/01897/122100001/
朝日新聞DIGITAL:2022/2/10
愛知県のPCR検査システムにサイバー攻撃
https://www.asahi.com/articles/ASQ2B5SQQQ2BOIPE01F.html
NHK NEWS WEB:2022/2/8
国連報告書”北はサイバー攻撃で外貨獲得
ミサイル発射加速”
https://www3.nhk.or.jp/news/html/20220208/k10013473121000.html
BBC NEWS
JAPAN:2022/1/14
北朝鮮のハッカー、昨年450億円相当の暗号資産を盗む=報告書
https://www.bbc.com/japanese/59990702
JIJIドットコム:2022/2/8
サイバー攻撃の実験場、ウクライナで暗躍する親ロシア工作集団「UNC1151」
https://www.jiji.com/jc/v4?id=foresight_00344_202202080001
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved