細田 佳代

サイバー攻撃の激化とサイバー保険の役割

こんにちは。ファイナンシャルプランナーの細田です。

みなさんは昨年11月頃から、日本においてもサイバー攻撃が増えているのをご存じでしょうか。実は、私が勤務している会社でもサイバー攻撃による(直接受けた攻撃ではありませんが)被害を受けました。

みなさんも大企業がサイバー攻撃を受けたニュースを目にしていると思いますが、ニュースの世界の話と思っていませんか?サイバー攻撃は、対岸の火事ではありません。

また、サイバー攻撃を受けたとしても賠償義務があるとは思えないから、サイバー保険は不要だと思っていませんか?サイバー保険は損害賠償への備えだけが目的なのでしょうか。
今回はサイバー攻撃とはどのようなものかそしてサイバー保険の役割についてお話しします。

会社のカード情報が盗まれた

私の会社で利用している通信教育の会社があります。

昨年末ごろ講座を申し込もうと思いサイトにアクセスすると、ホームページ上部に
「サイバー攻撃を受けた可能性があり、現在新規申し込みを停止しています」といった文面がありました。とても驚きましたが、この時点ではまだ他人事と思っていました。それから4カ月後、1通のメールが届きました。

メールの内容を要約すると

・通信教育会社が利用していた決済サービス会社がサイバー攻撃を受け、クレカ情報(カード番号やセキュリティコードなど)が流出した可能性があること

・誰の情報が流出したかの特定はできなかったので、期間内にカードを利用した人全員が、自分でカード会社に確認してほしいこと

・各カード会社には事情説明済みであること

というものでした。大変です。
まず急いで、Web明細を確認しました。見事に覚えのないカード利用履歴がズラズラと・・・。
その後カード会社に連絡し、不正利用分の特定(利用先によっては個人情報のセキュリティが厳しく、カード会社からの照会にも応じない会社があり、そこへの確認は自分で連絡しなければなりませんでした)などを行いました。

不正請求分は、補償されるので支払う必要はないのですが、対応に一日かかり、通常の業務ができない上に、極度の疲労を感じました。
カードは停止され、新しいカードは発行されますが、新しいカード到着までの間は会社のクレジット決済ができません。
その結果システムの停止により、営業損失も発生したのです。

サイバー攻撃ってどんな攻撃?

サイバー攻撃にはいくつかの種類がありますが、昨年から猛威を振るっているのがEmotet(エモテット)というものです。

出典:JPCERT CC

Emotetはメールを媒介にして送られてきます。

上図はEmotetに感染した疑いのあるメールアドレスの新規観測数のグラフですが、2022年3月に急増しています。

みなさん「不審なメールは開かない」と何度も聞いたことがあると思います。「そういうのよく送られてくるけど、開かないから大丈夫だよ」と思うかもしれません。

ですが、攻撃メールは一見「不審ではない」のです。

Emotetに感染すると、PC内の情報が盗まれます。過去に実際に送られた本物のメール本文が盗まれ、その文面をコピーして「なりすましメール」として利用されてしまうのです。

実際のメールのコピーですので、不審メールとは気づきにくく、さらに本当のやり取りの最中に紛れて送られてくると、かなりの高確率でメールの添付ファイル等を開いてしまうのではないでしょうか。

サイバー犯罪者は一人ではなく、複数の犯罪者が分業して攻撃を行います。

Emotetに感染すると、攻撃元はそのPCを思い通りにすることができ、そのPCを他のウィルスの侵入経路として、他の犯罪者に販売・拡散します。

その結果ランサムウェア(システムを暗号化し、身代金を請求するウィルス)などの他のウィルスに追加感染したり、自社の取引業者などに感染を拡大させてしまったりするのです。
時間とともに事態は悪化します。

サイバー攻撃は防げないのでしょうか?

ウィルスに感染したら大変ですから、まずは感染しないようにしたいですよね。いくつかの対策をご紹介します。

メールの送信方法にルールを作る

メールを送るときに、「〇時〇分に△△という内容のメールを送りました。」と、メール以外の方法で連絡する。「さきほどFAXを送りましたが、届きましたか?」と電話をするような感じです。
自分自身と取引業者を守るために、ルール作りが重要です。

マクロの実行に警告を出す

エクセルなどのファイルを開くときに「マクロを有効にしますか?」という警告を出すようにしておきましょう。マクロの実行はファイルの製作者(攻撃者)がPCへ命令することを許可するという意味になります。自動でマクロを実行する設定にしないようにしてください。

ウィルス対策ソフトのアップデートとフルスキャンを行う

実は一般的なウィルス対策ソフトでEmotetの感染を検知するのは困難だそうです。ですが、アップデートを行い、フルスキャンをかけるようにすると、感染から時間が経ってからでも検知する可能性があります。また、無料で利用できるエモチェック(Emotetの感染をチェックするツール)で定期的に調べるのも良いでしょう。

少しでも早く感染に気づくのは、被害拡大防止のためにも重要です。

パスワード付きZipファイルの利用をしない(脱PPAP)

暗号化されたパスワード付のZipファイルを送り、別のメールでパスワードを送る方法があり、一見安全なように思います。しかしファイルとパスワードは同じルートを通るので、両方とも盗むことができます。また、パスワードがかかったファイルはウィルススキャンがスキップされる可能性があり、サイバー攻撃の被害リスクは高まります。

感染したらどうなるのですか?

サイバー攻撃はどんどん巧妙になり、かつ数もかなり増えています。コロナ禍以降は在宅勤務が増え、重要な情報が社員の自宅など脆弱なセキュリティ環境にさらされています。

サイバー犯罪者がいる限りサイバー攻撃はなくなりませんし、完全に攻撃を防ぐことも不可能です。

もし会社のPCがウィルス感染してしまったらどうすればよいのでしょうか。

・発見・・感染に気づいたら、感染の疑いのある端末をネットワークから遮断します

・報告・・担当部署に報告します

・調査・・被害状況、原因などを調査します

・通知、報告・・・被害にあったことを周囲に通知したり、監督官庁等に報告したります

・復旧・・システムを復旧させます

・事後対応・・再発防止策の策定・損害賠償などを行います

ウィルスに感染すると、以上のようなことを、通常業務を行いながらやらなくてはいけません。

ウィルス感染への対応にマンパワーを割かれるうえに、対応ごとに費用がかかり経済的な損失も大きくなります。

2022年4月に個人情報保護法が改正され、事業者の義務が強化されます。個人情報漏洩の際、個人情報保護委員会と本人への報告が「努力義務」から「義務」となり、さらに命令違反時の事業者への罰金刑は「30万円以下」から「1億円以下」へと引き上げられます。

被害にあったと思われるPCを解析して被害の内容と原因を調査しなければ説明責任を果たせませんが、その調査費用にはPC1台につき100万円以上かかります。PCとサーバー数台でも初期調査費用に概ね300万円~400万円程度必要となり、感染拡大した場合の費用が数千万円に及ぶこともあります。(日本ネットワークセキュリティ協会 インシデント損害額調査レポート2021による)

また、公表文書の作成には弁護士等専門家との連携が必要になりますし、システム復旧まで数か月間営業ができないとなると、利益損害が出ます。さらに、取引企業に対して損害賠償を行わなければいけない可能性もあります。

サイバー攻撃の被害者であるのに、取引先企業への加害者になってしまうのです。

サイバー保険の役割

各損害保険会社ではサイバー保険を取り扱っています。

サイバー保険は賠償責任保険の一つですので、サイバー攻撃の被害にあった場合の、取引先や顧客への損害賠償金に備える保険です。

しかし、役割はそれだけではありません。

損害調査費用や営業損失費用など、莫大にかかる費用にも備えることができます。

そしてさらに、保険会社によって違いはありますが、PC解析をする調査会社や弁護士等各種専門家の紹介、対策本部の設置といったサービスがあります。

サイバー攻撃の被害などという経験のない事態に緊急に対応しなければいけなくなった場合、すぐに各専門家と連携がとれるということが、一番大きな役割となっています。

まとめ

サイバー攻撃は巧妙に増え続けており、今や私たちも毎日攻撃を受けています。

「会社のこと」と思うかもしれませんが、被害が起きる場所の多くは現場の従業員のPCやスマートフォンです。私たち一人一人が攻撃の入口になってしまうかもしれないのです。

まずは、被害にあわないための一人一人の意識づけや訓練、そしてなにより「知ること」が重要です。

しかし、誰しもミスをしてしまいます。

サイバー攻撃は防げません。

もはやサイバー攻撃をされないための「感染防止対策の時代」から、サイバー攻撃の被害を前提とした「感染後の対応対策の時代」になっているのだと思います。