海外のサイバー攻撃事例から、企業が備えるべきことは?
2022年3月現在、国境を越えて発生しているサイバー攻撃の事案や懸念は、これまで以上に、深刻さを増しています。
本稿では、改めてサイバー攻撃の事例と影響、企業が備えるべき点について簡単にご紹介します。
1.事例1:DDoS攻撃*1*2
昨今の情勢において、政府関連のウェブサイトや銀行が大規模なDDoS攻撃を受けていることが判明しました。DDoS攻撃(分散型サービス拒否攻撃)は、サーバーの処理能力を超える大量のリクエストを送り込むこみサーバーを機能不全に陥れることで、サービス提供を妨害する攻撃です。
今回のDDoS攻撃により多くのウェブサイトが停止していることが確認されています。ウクライナのMykhailo Fedorovデジタル変革相大臣によりますと、メッセージングアプリのTelegramで、一部の銀行のサイトもダウンしていることが報告されています。また、ウクライナ最大の商業銀行であるPrivatBankは大規模なDDos攻撃を受け、一部の顧客が特定のアプリケーションへのアクセスや口座情報を閲覧ができなくなっているとウクライナ戦略通信情報セキュリティセンターが報告しました。
2.事例2:スパムメール/不正サイト*3
トレンドマイクロの調査によると、2022年1月と2月の検出情報を比較したところ、不正なメールやURLが、2月後半から急増しています。2022年2月1日に検出した不正なメールは814件、不正なURLは16件、その一方、2022年2月28日に検出した不正なメールは26,753件、不正なURLは448件です。また、海外の情勢に便乗して寄付金詐欺サイトへ誘導するスパムメールも確認されており、これらのスパムメールからマルウェアに感染する危険性もあると警告しています。
3.事例3:破壊的マルウェア*4
2022年1月中旬から2月の下旬にかけて、マルウェア「Hermetic Wiper」、「WhisperGate」への感染が複数報告されています。マルウェア「Hermetic Wiper」は新しいデータワイパー型であり、「WhisperGate」はシステムを破壊するマルウェアです。また、今後も当該マルウェアによる被害が広がる恐れがあると米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が警戒を呼びかけています。
4.企業が備えるべきこと
日本政府は「昨今の情勢を踏まえるとサイバー攻撃事案のリスクは高まっていると考えられます」とサイバー攻撃に対し警鐘を鳴らしています。また、中小企業や取引先等サプライチェーン全体に目を向け適切なセキュリティ対策をとることや、国外拠点を持つ企業に対しては国内へのサイバー攻撃の足掛かりとならないよう国内のシステム等と同様に具体的な対策・指示を実施するよう求めています。*5
サイバー攻撃を防ぐため、セキュリティ対策の実施状況や情報資産の管理状況をご確認いただくことを推奨いたします。
〇主な実施、確認ポイント
- パスワードやアクセス権の棚卸、多要素認証等の利用による本人認証の強化
- IoT機器を含む情報資産に対しセキュリティパッチを適用し最新状態にしておく
- メールの添付ファイルを不用意に開けない、URLを不用意にクリックしない
- マルウェアに感染した際の対応方法を確認、周知する
- 定期的なデータのバックアップや、復旧方法を確認しておく
- サーバー等の各種ログの確認や監視状況の再点検を実施する
5.終わりに
本記事では海外におけるサイバー攻撃と企業がこれから備えるべきことについてご紹介しました。2月末から3月にかけてDDoS攻撃、スパムメール/不正サイトへの誘導、システムを破壊するマルウェアによる事案が増加しています。
今一度サイバー攻撃への対策の実施状況を見直しましょう。
個人情報保護法が改正!改正点をおさらい
2022年4月1日に個人情報保護法が改正されます。2003年に成立した本法律はこれまで社会・経済情勢の変化に合わせて都度改正されてきました。また前回2017年の改正から3年ごとの見直し規定が盛り込まれており、より迅速かつ柔軟に変化に対応できるようになりました。
本記事では今回改正される同法の主な改正点を紹介し、気を付けなければいけないポイントをおさらいします。
1.個人情報保護法の8つの主な改正ポイント
今回の法改正での主な改正ポイントは以下8つです。*6
(1) 漏洩等報告・本人通知の義務化
(2) 外国にある第三者への提供
(3) 保有個人データの開示方法
(4) 個人データの利用の停止・消去等の請求
(5) 公表等事項の充実
(6) 不適正利用の禁止
(7) 個人関連情報
(8) 仮名加工情報
上記に挙げた8つのポイントを順番にご紹介していきます。
(1) 漏洩等報告・本人通知の義務化
これまでは努力義務とされていた報告や本人通知が、改正後は一定の条件下において個人情報保護委員会への報告や本人通知が義務化されました。
当然情報漏洩が起こらないように対策することが一番重要ですが、万が一情報漏洩が起きてしまった際の対応を事前に確認しておくことも非常に重要となります。
(2) 外国にある第三者への提供
外国にある第三者へ個人データを提供するときは、提供先における個人情報の取扱いについて情報の充実が求められるようになりました。国外の企業等へ個人データを第三者提供することが多い事業者の方は特に注意が必要です。
〇主な対応内容
- 本人からの同意を得るとき、提供先の国名やその国における個人情報保護に関する制度等を伝えること
- 提供元は提供先に対し、渡した個人データの取扱い状況や安全管理等を定期的に監視すること
- 本人の求めに応じて必要な措置等に関する情報を提供すること
(3) 保有個人データの開示方法
保有個人データの開示方法はこれまで原則書面による交付のみでしたが、記憶媒体や電子メール等電子データによる開示を本人が指示できるようになりました。
さらに開示対象範囲も広がりますので、自社で持つ個人情報の取扱い状況を再度確認しておく必要があります。
(4) 個人データの利用の停止・消去等の請求
改正前は目的外利用や不正取得が起きた後でないと請求できませんでしたが、改正後は目的外利用や不正利用が起きそうな場合でも請求できるようになります。また、本人が利用する必要がなくなった際にも請求できるようになりました。
これにより請求対象範囲がかなり広がっていますので、(3) 保有個人データの開示方法と共に対応方針を確認しておきましょう。
(5) 公表等事項の充実
社外への公表事項に安全管理措置に関する情報が追加されました。ただし、詳細な安全管理方法を記載する必要はなく、公表することで自社に支障が出ない程度の内容で問題ありません。
(6) 不適正利用の禁止(新設)
「違法又は不当な行為」等による個人情報の利用をしてはいけない旨が明確化されました。「違法又は不当な行為」とは法令に違反することに加え道徳に反するような行為を指します。
利用目的が法令だけでなく不当な差別など社会通念上・道徳上反しているものでないか注意して個人情報の利用について考える必要があります。
(7) 個人関連情報(新設)
「個人関連情報」とは、生存する個人に関する情報で、個人情報・仮名加工情報及び匿名加工情報のいずれにも該当しないものを指します。
例えばCookie情報や端末固有IDなどそれ単体では個人情報ではないものの、他の情報と照合することで特定の個人を識別できるものです。
個人関連情報を第三者に提供する際は、第三者側で個人を識別可能である場合は、第三者に情報を提供する者が、事前に本人の同意を得ることが必要になります。
また、第三者提供を受ける企業側にも個人情報の提供元の企業が、本人に対し同意を得ているかどうかを確認する義務が発生します。
(8) 仮名加工情報(新設)
「仮名加工情報」とは、他の情報と照合しない限り、特定の個人を識別できないように個人情報を加工した情報を指します。匿名加工情報よりもデータの有用性を保てるため、統計や詳細な分析を行うために利用されていくでしょう。ただし、第三者への提供は認められていないことに注意が必要です。
2.終わりに
本記事では2022年4月の個人情報保護法の主な改正ポイントをご紹介しました。改正ポイントには個人情報利用の規制が強化されただけでなく、利用の幅が広がるものもあります。ただしどちらにしても法令の内容をよく確認し、内容に沿った利用をしていくことが必要です。皆様も今回の法改正内容を今一度確認し、自社の個人情報保護の推進/運用について必要に応じて見直しましょう。
脚注(参考文献一覧)
- ZDNet Japan|ウクライナ政府や銀行のサイトにまたDDoS攻撃--アクセス不能に(参照日:2022-3-18)
- ZDNet Japan|ウクライナの国防省サイトや大手銀行にサイバー攻撃(参照日:2022-3-18)
- Trend Micro|ロシア・ウクライナ紛争に関連したサイバー脅威動向(参照日:2022-3-18)
- Security NEXT|ウクライナ狙う破壊的マルウェア、他国にも広がるおそれ - 米政府が警戒呼びかけ(参照日:2022-3-18)
- NISC|サイバーセキュリティ対策の強化について(注意喚起)(参照日:2022-3-18)
- 出典:個人情報保護委員会|改正個人情報保護法 特集(参照日:2022-3-18)
「改正個人情報保護法 特集」(個人情報保護委員会)を加工して作成
