ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう！その6

2025年1月12日 12:38

みなさん、こんにちは！
株式会社カチカのリモート＆コールドバックアップ業務担当の村島です！
冬ですね。皆様、手の小指と薬指だけが冷えるっていう経験はありませんか？これ、医学的には非常に納得できる理由があるんですよね。親指から薬指の親指側を担当する神経と、薬指の小指側と小指を担当する神経って別なんですよね。
ということなんですが、たまに中指だけ冷たくなることがあるんです。理由はよくわかりません。
では、今回もレッツスタディセキュリティ！なのです。

例によってこの文書を見てまいります

というわけで見ていくのは、ここのページにあります。

内閣サイバーセキュリティセンター
ストップ！ランサムウェアランサムウェア特設ページより引用

ここのページの赤丸をしている部分、仮訳って書いてある文書ですね。1ページ目だけ画像で出しておきましょうか。

ランサムウェア・インシデント発生時の組織向けガイダンス
（以降、特記なき場合同文書からの引用とします）

とりあえずこの文書の本文1まで終わったんでした。しかしいつまでやっとるんじゃ。
文章的にはこういう文章になります。

身代金支払いに関する正しい法規制の環境を考慮する
2. 組織が身代金を支払う前に法規制上考慮すべきことがあり、専門家がアドバイスを提供することができる。民間サイバー保険機関は、被害組織にアドバイスを提供できる弁護士を紹介することもできる。

ですね。
まあ当然の話として、ランサムウェアに限らず人間の誘拐でもなんでもそうですが、身代金を払う前に、払わずに事件を解決に向かわせようという努力をするのは当然のことです。
いつかもお話ししたでしょうか、私実は行政書士試験に合格しておりまして。まあ、行政書士登録して仕事しようなんてことは考えていないんですがね。行政書士試験って、刑法が出ないんですね。
だから人間以外の誘拐および身代金要求がどういう罪になるのかはわからないのですが、確か『有閑倶楽部』という漫画で金持ちが愛して止まない錦鯉を誘拐して身代金を要求する話があったような気が。
ましてランサムウェア案件なんか物理的な実態のないものを、持ち去るわけでもない（物理的な実態がないんですから持ち去れるわけないんですが）ので、どういう罪になるのかはまだ法律的には未確定ってことになっちゃうんでしょうかねえ？
ただ、こういう例があります。やっぱり錦鯉を飼っている人がいて、その飼い主と喧嘩になった人が、錦鯉が飼われている池と用水路を隔てている柵を開けたんです。当然、錦鯉たちは逃げますよね。この事件、結論としては器物破損というところに落ち着きました。
器物破損って割と幅広い範囲に適用されるものでして、何らかの意味においてモノを「使えなくする」のは器物破損になります。旅館で酔っ払った客が徳利に小便をした例も器物破損になってますし、掛け軸に何か書いて欲しいとお願いされた書道家が「不吉」と書いたという事例も器物破損になってます。
しかしデータを使えなくするのはそもそも「器物」ではないところに悩みどころがありますよね。こういうのは現状法整備が現実の技術に追いついていないところから来るんでしょうが、法律には完全に素人な私でもこうやってなんとか犯罪に持ち込めないかアイデアを絞ることはできるのですから、優秀な人々が集まっている大企業が多いであろうランサムウェア被害者の皆様にはあらゆる方面から知恵を絞っていただいて、悪事に負けないようにしていただきたいものです。
そしてまた、多方面からの専門家の意見も貴重なものです。三人寄れば文殊の知恵という言葉を信じましょう。いろんな人が集まっていろいろ意見を出し合えば、サイバー犯罪者に屈するという結論以外のなにものかが見つかるかも知れません。
そして民間サイバー保険の会社は、被害組織にアドバイスをする弁護士を紹介することもできる、って、これってわざわざ書かなきゃいけないことなんでしょうかね？弁護士を紹介するって、案外迂闊にやったら危険なことではあるんですね。非弁提携と言いまして、弁護士の名義貸しになってしまうことも可能性としてなくはないので慎重を来すことは重要なんですが、保険会社はランサムウェア・インシデントにおいては優秀な弁護士先生たちを紹介するには積極的であれ、ということを述べているのかも知れません。
では次を見ていきましょうか。

身代金支払いに関する正しい法規制の環境を考慮する　の続き

3.例えば、制裁対象になっている組織に身代金を支払う場合など、特定の状況下では支払いが合法でない場合がある。

これも「身代金支払いに関する正しい法規制の環境を考慮する」の続き扱いです。
これはまあ、難しくはありませんよね。国際的に制裁対象になっているような連中というのがありますので、そういうところにお金を支払ったら、支払った方も悪い扱いになりますよ、ということです。
現在国際的な制裁対象になっている団体などを調べてみます。
調べてみたら「経済制裁措置および対象者リスト」というのが見つかったのですが、一応転載しますがこんなにあるんですね。

ミロシェビッチ前ユーゴスラビア大統領及び関係者
タリバーン関係者等
テロリスト等（先進主要７か国（米、加、英、仏、独、伊、日）が協調して資産凍結の措置を実施する対象となるテロリスト等の個人及び団体）
テロリスト等（米国等が資産凍結等の措置を実施した個人及び団体）
イラク前政権の機関、高官又はその関係者等（Ⅰ．決議第1483号23(b)の対象となる個人）
イラク前政権の機関、高官又はその関係者等（Ⅱ．決議第1483号23(a)の対象となる団体）
イラク前政権の機関、高官又はその関係者等（Ⅲ．決議第1483号23(b）の対象となる団体）
【解除】リベリア前政権の高官又はその関係者等
コンゴ民主共和国に対する武器禁輸措置等に違反した者等（個人）
コンゴ民主共和国に対する武器禁輸措置等に違反した者等（団体とその他のグループ）
【解除】コートジボワールにおける和平等に対する脅威を構成する者等
スーダンにおけるダルフール和平阻害関与者等
北朝鮮のミサイル又は大量破壊兵器計画に関連する者
北朝鮮に関連する国際連合安全保障理事会決議に基づく資産凍結等の措置の対象となる者（団体）
北朝鮮に関連する国際連合安全保障理事会決議に基づく資産凍結等の措置の対象となる者（個人）
国際平和のための国際的な努力に我が国として寄与するために講ずる資産凍結等の措置の対象となる北朝鮮の核その他の大量破壊兵器及び弾道ミサイル関連計画その他の北朝鮮に関連する国際連合安全保障理事会決議により禁止された活動等に関与する者（団体）
国際平和のための国際的な努力に我が国として寄与するために講ずる資産凍結等の措置の対象となる北朝鮮の核その他の大量破壊兵器及び弾道ミサイル関連計画その他の北朝鮮に関連する国際連合安全保障理事会決議により禁止された活動等に関与する者（個人）
【解除】イランの拡散上機微な核活動及び核兵器運搬手段の開発に関与する者【解除】イランの拡散上機微な核活動又は核兵器運搬システムの開発に寄与し得る銀行以外の者【解除】イランの拡散上機微な核活動又は核兵器運搬システムの開発に寄与し得る銀行
【解除】イランの拡散上機微な核活動又は核兵器運搬手段の開発に関与する者（個人）
【解除】イランの拡散上機微な核活動又は核兵器運搬手段の開発に関与する者（団体）
ソマリアに対する武器禁輸措置等に違反した者等
リビアのカダフィ革命指導者及びその関係者（Ⅰ．国際連合安全保障理事会決議第2009号主文15に従い、資産凍結の措置が緩和されて適用される個人又は団体）
リビアのカダフィ革命指導者及びその関係者（Ⅱ．その他の個人又は団体）
シリアのアル・アサド大統領及びその関係者等（個人）
シリアのアル・アサド大統領及びその関係者等（団体）
クリミア自治共和国及びセヴァストーポリ特別市のロシア連邦への「併合」又はウクライナ東部の不安定化に直接関与していると判断される者並びにロシア連邦による「編入」と称する行為に直接関与していると判断されるウクライナの東部・南部地域の関係者と判断される者（個人）
クリミア自治共和国及びセヴァストーポリ特別市のロシア連邦への「併合」又はウクライナ東部の不安定化に直接関与していると判断される者並びにロシア連邦による「編入」と称する行為に直接関与していると判断されるウクライナの東部・南部地域の関係者と判断される者（団体）
資産凍結等の措置の対象となるロシア連邦の団体及び個人（団体（特定銀行を除く））
資産凍結等の措置の対象となるロシア連邦の団体及び個人（個人）
資産凍結等の措置の対象となるロシア連邦の団体及び個人（特定銀行）
資産凍結等の措置の対象となるベラルーシ共和国の個人及び団体（個人）
資産凍結等の措置の対象となるベラルーシ共和国の個人及び団体（団体（特定銀行を除く））
資産凍結等の措置の対象となるベラルーシ共和国の個人及び団体（特定銀行）
資産凍結等の措置の対象となるロシア連邦及びベラルーシ共和国以外の国の団体
資産凍結等の措置の対象となるロシア連邦及びベラルーシ共和国以外の国・地域の個人及び特定銀行（個人）
資産凍結等の措置の対象となるロシア連邦及びベラルーシ共和国以外の国・地域の個人及び特定銀行（特定銀行）
中央アフリカ共和国における平和等を損なう行為等に関与した者等（個人）
中央アフリカ共和国における平和等を損なう行為等に関与した者等（団体及びその他のグループ）
イエメン共和国における平和等を脅かす活動に関与した者等
南スーダンにおける平和等を脅かす行為等に関与した者等
マリ共和国における平和等を脅かす行為等に関与した者等
ハイチにおける平和等を脅かす行為等に関与した者等
暴力的行為に関与するイスラエルの入植者

例えば4番の「テロリスト等（米国等が資産凍結等の措置を実施した個人及び団体）」というのはなんだかずいぶんぼんやりした表現ですね。「等」という文字が2回使われている文章ですが、こういうのって述べようとしている内容に自信がないか、文章で述べられている対象を指定するときに裁量の余地を大きく取っておきたいときに使われる文章ですが、まあ後者でしょうね。世界的規模で反社会的活動を行っている団体に対して「う～ん、悪いことしていることは間違いないけど、指定者リストに入っていないからOK！」とはできませんもんね。
まあ、身代金を払うにあたっては、こういう連中に該当しないかどうかというのもきちんと調べる必要があるということです。

次に行きましょうか。

当局へランサムウェア・インシデントを報告する

4. できるだけ早い機会に当局にインシデントを報告することは、被害組織への支援に繋がる。インシデントを報告することにより、当局は被害組織に必要な助言や支援を提供できるようになり、ひいては被害組織の強靭性を強化して、将来のランサムウェア・インシデントを防げるようになる。また、攻撃を受けた場合や支払いを行った場合のタイムリーな報告は、法執行機関等の当局が効果的な捜査を行い、ランサムウェア実行者の活動を将来的に阻止するための証拠を収集し、当局がランサムウェア犯罪行為について全体的に理解を深めて、将来の被害組織をより適切に支援し、場合によっては攻撃者の逮捕や起訴、攻撃者が使用するインフラやサービスの押収や妨害等を通じて将来の攻撃を阻止するためにも必要である。

そもそも当局って何なのという話ですが、あんまり具体的な定義がある言葉でもないみたいですね。そういう案件を扱っている組織とか部署とかそういうことを言うみたいです。
ついでに言いますと、そういう組織に属している人が、我々の組織という表現をするためにも「当局」って言葉を使うこともあるみたいです。弁護士さんなんかが自分のことを「当職」というのと似たようなことなんでしょうか。
若くてまだ経験が浅い、従って失敗もよくするドジっ娘女性弁護士がメールで「当職」なんていう言葉を使ってたらギャップ萌えしますよね。
だ～、もうそんなことはどうでもよくて、検索した結果を見ると以下のような組織が報告先に挙がるようですね。

最寄りの警察署又は都道府県警察本部のサイバー犯罪相談窓口
警察庁やIPA、関連企業などに報告する
電話番号#9110（注・警察につながりますが出向きたくない場合には良さそうです）
電気通信事業法* 第二十八条では、通信の秘密の漏えいやセキュリティインシデント等にも起因する重大な事故が発生した場合に原因を含めて報告先として総務大臣への報告が義務付けられています。
情報処理推進機構セキュリティセンター（IPA/ISEC）

すみません、いろんなところからの引用なんで文体がバラバラですが、まあ要するにまずは警察に相談してみるのがいいんじゃないでしょうか。警察官っていうのも本当にいろんな人がいまして、たまにやたら高圧的かつ不親切な人っていますよね。
個人的なことですが、私、以前財布をなくしたことがあるんですよ。それで警察に言ったら「財布を最初に見たのはいつか教えて下さい」って言われるんです。「最後に見たのは…」と言いかけたら「最後じゃなくて最初に見た時を教えて下さい」ってわざわざ遮ってまで言ってくるんですね。最初に見た時って、その財布を買ったときじゃないですか。あの警察官絶対おかしいよな。まあ、余談でした。

なぜ様々な組織に報告が必要か

こうやっていろんな組織がサイバー攻撃（ランサムウェア含む）の情報を集めているかというと、言うまでもないことかも知れませんがサイバー攻撃の手口って日進月歩ですので、とにかく最新の情報を集めて有効な対策を立案・実行する必要があるからです。
現状、そういうことをする組織がいくつかあるという状態になっているのは困ったことだなというのが私の正直な感想でして、それらの組織を一本化して、その組織は国が運用し、特別な捜査権が与えられるべきだよなと思っています。そういうところからA.I.M.S.みたいな組織が生まれるんでしょうね（生まれない）。
以前にも申し上げたかも知れませんが、私実は臨床心理を少し囓ったことがあるんですね。臨床心理って派閥が大きくふたつありまして、大陸型と英米型になります。なのでこの場合の大陸というのはヨーロッパ大陸、特にドイツあたりのことを言います。
大陸型というのは心の構造はこうなっていて、この構造のこの部分にどういう作用が起こったから、結果としてこういう行動に表れる、みたいな形で心の構造を明らかにしようという考え方をします。
英米型というのは心の構造なんて検証不可能なものは考えず、こういう働きかけをしたらこういう反応になって返ってきた、というのをとにかく数集めて、こういうアクションに対してはこういうリアクションになりがちだ、という実例をまとめていくって感じです。
私は英米型の方が面白いと思うんですが、ランサムウェアを含めるマルウェアへの対処って、ちょっと似ているところがありますよね。悪い連中の実態はなかなか捉えられない。だったら、各国のそういう機関が連携して、こういうマルウェア攻撃に対してこういう対処をしたら、攻撃者は次にはこういう動きを見せてきた、というのを実例として集めていって、攻撃があったら「多分このパターンにはこういう対処が有効」という推測を立てていくってことになるんだと思います。そして実際それが一番正しい対処ってことになるんじゃないでしょうか。
現状、マルウェアによるインシデントに対してどこかの機関への通報義務はありません。しかし、こんなことがありました、というのは、国レベル・世界レベルで行われるマルウェア攻撃に対する正しい対処を見つけ出すのに、小さいながらも確実に貢献します。
マルウェア攻撃に晒されたというのは、自分の体制に瑕疵があったということの証明でもあると思うんですが、ぜひ隠すことのないように、オープンに情報共有して下さい。それが結局、瑕疵をなくしていく行動に結びついていくことになると思います。

小括

というわけで今回も結構長くなってしまいましたが、文章の区切りもちょうどいいということでここまで書かせていただきました。
ランサムウェアを含むマルウェア問題って、結局のところできるだけ大勢の人たちが「自分の経験を踏まえると、こうするのがいいと思う」っていう意見を言うことが解決への糸口になっていくんだろうと思うんです。
弊社の場合、これも何度も申し上げていますが、

オンラインバックアップ（ホットバックアップ）
オフラインバックアップ（コールドバックアップ）

の両方を使ったハイブリッドバックアップ（複合バックアップ）体制を普段から敷いておき、できればオフラインバックアップに関しては数世代のバックアップを保存するようにしておいた上で、物理的な遠隔地にバックアップを置いておくというのが一番強力であろうと考えています。遠隔地バックアップとかリモートバックアップとか言われますね。
弊社では、オンラインバックアップのサービスは用意しておりません。なぜかと言いますと、オンラインバックアップとオフラインバックアップを両方使うとして、それぞれのサービス提供会社は別々である方が望ましいと考えているからです。これは遠隔地にバックアップを置いておくのと同じ理由で、オンラインバックアップとオフラインバックアップを同じ会社で行っていると何らかの災害などのときに両方やられてしまいます。
弊社はオフラインバックアップのサービスを提供しておりますので、オンラインバックアップを同時に行う必要はないわけです。今後とも、オフラインバックアップサービスの提供と同時に様々な情報をお知らせしていければと考えております。
ぜひよろしくお願いいたします。

クラウドストレージが持つ特有のリスク

 クラウドストレージが持つ特有の脆弱性

 クラウドストレージと遠隔地バックアップの相互補完性

 クラウドストレージのデータ消失に関する責任の所在

 ディザスタリカバリ手順をあらかじめ決めておくべき理由

 弊社でお取り扱いしておりますデータ・OSにつきまして

 クラウドストレージのメリット・デメリット

Microsoftさん、それはないでしょう

事業継続計画の立て方　その1

Windowsからの乗り換え先になるか？　Linux MintとChrome OS Flex

事業継続計画の立て方　その2

事業継続計画の立て方　その2　の注釈

事業継続計画の立て方　その3

BitLockerをいろいろ使ってみました

パソコンのデータが飛んだ際のリスク10選

クラウドネイティブ時代のバックアップのあり方について

ランサムウェア対策としてのバックアップについて

中小企業向けバックアップメディアのおすすめをご紹介