サイバー攻撃､被害公表のあり方に｢正解｣の道筋 被害組織の批判ではなく対応の適切な評価へ

そんな中で確実に言えることは、ランサムウェア攻撃の登場により、これまで攻撃に遭遇する可能性が比較的低かった組織も標的になる可能性が高まっているということだろう。

多くのサイバー攻撃では、「攻撃者側が価値を見いだす情報」が狙われる。顧客の個人情報や知的財産、暗号資産などの窃取を目的としているため、こうした情報を保有していたり、サービスを提供している組織が“被弾しやすい”層だといえる。

すると、個人情報を大量に保有していない、先端技術のようなものも扱ってない企業は「われわれは狙われないだろう」と考える。確かに、これまでは価値のある情報を保有する組織よりは確率論的に“被弾”率は低かったと思う。

しかし、ランサムウェア攻撃は、攻撃者にとって価値があると思う情報を狙いに来るのではなく、「被害組織にとって価値があると思う情報」を人質にする戦術のため、これまでのような「狙われることがない組織」というのが理屈上存在しなくなってしまった。

個人にとって大事な思い出である写真、企業の会計データ、在庫の管理システム、そういったものが“人質”に取られるのだ。そのため病院や学校、中小企業など、これまでターゲットになりにくかった組織のランサムウェア被害が相次いでいる。

なぜ「被害の公表」は難しいのか？

こうして誰もがインシデント対応を行う確率が高まっている中で、どのように被害を公表するかは極めて難しい問題だ。

なぜなら、被害情報を伝える相手、伝わる相手先がさまざまで、被害情報の受け手側が求めている情報もそれぞれ異なっているからだ。

「サイバー攻撃被害に係る情報の共有・公表ガイダンス」は、ここに少しでも道筋をつけようとトライしたものである。

「被害の開示」と言っても、被害公表だけでなく、法令に基づく所管省庁への報告・届け出、上場企業であれば適時開示、個人情報漏洩時には影響がおよぶ顧客等への個別通知、取引先への個別連絡など、相手方に応じてさまざまな目的、手段、タイミング、内容のものがある。

さらに公表のタイミングや内容については、攻撃者に利するようなものにならないよう警戒が必要だ。