高論卓説

サイバー攻撃に対する最大の予防策は「従業員のセキュリティー意識向上」

 11月にゲーム大手のカプコンが「ラグナロッカー」と名乗る集団からランサムウェアと呼ばれるコンピューターウイルスを使ったサイバー攻撃を受けた。警視庁のウェブサイトによると、「ランサムウェア(Ransomware)とは、『Ransom(身代金)』と『Software(ソフトウェア)』を組み合わせて作られた名称であり、コンピュータウィルスの一種」と記載されている。本件でも同集団は機密情報を抜き取った上で、サーバーにランサムウェアを植え込み、そのサーバーの情報を暗号化した上で、機密情報の開示の中止と暗号化の解除を求めて身代金を要求したようである。(溝田宗司)

 これまでも、2014年のソニー・ピクチャーズへのハッキング事件や17年の日産自動車の工場などがサイバーセキュリティー関連の被害に遭っている(いずれも海外の拠点)。

 とはいえ、カプコンのケースは、海外の拠点が被害に遭った従前のケースとは様相が異なる。

 日本では、「不正指令電磁的記録に関する罪」というのが刑法168条の2に規定されており、まさにランサムウェアを提供する行為は、当該条項に規定されている行為に該当するといえよう。もっとも、今回のラグナロッカーは、一部報道によるとロシアなどの東欧圏に属するようであるが、こういった、海外からランサムウェアを日本企業であるカプコンのサーバー(サーバーが日本にあるかどうかは不明だが)に提供する行為は日本の刑法が適用されるのだろうか。

 この点について、被害という結果が生じたのは、実際にはカプコンという日本の企業である以上、やはり、日本の刑法が適用されるといえる。実際に、大阪府警が捜査に乗り出したようである。恐らく海外にいるであろう犯人を見つけ出し、確保するのは難しい。また、こういった問題が生じてしまったら完全に原状回復するのは困難だろう。

 したがって、重要なのは事前の予防策ということになる。実際のシステム的な予防策は、それこそ警視庁のウェブサイトにも推奨策が掲載されているくらいであるし、企業もシステムのセキュリティー対策にはコストをかけて取り組んでいると思う。

 さらに改善の余地があるとすると従業員のセキュリティー意識だ。

 ランサムウェアは、メールなどで提供されるケースもあり、そのメールにあるリンクなどを会社のパソコンで誤って開いてしまい、結果会社のサーバーが感染してしまうということもある(カプコンのケースがそういった経路で感染したかは不明)。こういったことは、従業員のセキュリティー意識次第で回避できることである。

 もちろん、大企業であれば、セキュリティーに関する規定などがしっかりと準備されており、従業員もある程度はその存在を認識しているであろうが、企業としては抽象論のみならず、今回の事例などをケーススタディーとして紹介し、その被害がどれほどのものかしっかりと認識してもらうことが最大の予防策であろう。

 そうしたレクチャーを従業員教育の一環として継続的に実施することが重要と考える。カプコンのケースが無事解決する(あるいは解決している)こと、および、今後、このような卑劣な犯罪で被害に遭う企業が出てこないことを切に願う。

【プロフィル】溝田宗司 みぞた・そうじ 弁護士・弁理士。阪大法科大学院修了。2002年日立製作所入社。知的財産部で知財業務全般に従事。11年に内田・鮫島法律事務所に入所し、数多くの知財訴訟を担当した。19年2月、MASSパートナーズ法律事務所を設立。知財関係のコラム・論文を多数執筆している。大阪府出身。

Recommend

Biz Plus

Ranking

アクセスランキング