9月5日(金)にデジタルアーツ株式会社から編集部宛に届いたプレスリリースにはご丁寧に「(この情報は)9月8日AM9:00まで社外秘情報となります」と小癪(こしゃく)な文言が記されていた。Appleでもあるならともかくデジタルアーツごときが解禁日めいたものを記したという事実に驚いた。
少なくともセキュリティ企業が発信する情報に限って言えば、いわゆる「解禁日時」を設定したプレスリリースの内容が面白かった試しは過去一度もない。ここで面白くなくなる理由を8,000文字程度書く自信はあるが今回はやめておく。
それにしてもデジタルアーツから「~まで社外秘情報」などと記したリリースを受け取るのはここ10年か15年で記者が知る限り初めてのことである。頭の悪いPR会社に踊らされているのではないことは「解禁」などという空疎な言葉の使用を、冒頭のようにクレバーかつ周到に避けていることでわかった。記載も文末にひっそりとである。あちこちに散りばめたりすると頭が悪いと思われることを理解している。
要は情報の内容に同社は自信があるということだ。あるいは沢山の人の目に触れるべきであると考えている。そう推察して、メール本文のリンクからダウンロードしたMicrosoft Wordファイルに目を通したところ、まんまとその通りだとわかった。
とはいえ連絡を受け取った9月には編集部は、1ヶ月まるまる、猛烈に原稿のバックオーダーがたまっていたから「こんな良い内容のリリースなら他誌が記事にするだろう」そう考えて本誌では掲載を見合わせた。しかし、編集部が補足している範囲では10月22日(水)現在、まだどこも記事になどしていない。別にアサヒグループホールディングス株式会社のサイバー攻撃に埋もれてしまったなどということはない。アサヒへのサイバー攻撃の事実が公表されたのは9月29日(月)だ。要はこのリリースの価値をどこの編集部も理解できなかった可能性がある。
確かにわかりづらい内容ではあった。ポイントはサイバー攻撃をしかける奴らとそれを防御する側がまったく同じ武器を使ってタイマンで一騎打ちをして戦い勝利を収めた、あまつさえ個人情報保護委員会がその勝利を認めたという、ざまあみろおととい来やがれ感にあるのだが、おそらくはFinalCodeという製品が超絶マイナーで、誰もそのユニークな機能を知らなかったというのが本当のところだろう。
2024年11月、横浜の保険代理店がランサムウェア攻撃を受けた。しかし、8万件を超える顧客情報は一切漏えいしなかった。攻撃者が暗号化しようとしたデータはすでに国産セキュリティソリューションで暗号化されていたからだ。
本誌ScanNetSecurity的に重要なのは、インシデントの経緯がセキュリティ企業の事例として公開されていることだ。サイバー攻撃をもろに喰らったマジモンのインシデントを、予定調和記事ばかりが並ぶ「事例」のひとつとして公開する例はまず見たことがない。ベンダとユーザー企業の信頼関係だったり、ユーザー企業側の公益性への配慮や志、もっというと勇気がないとこういうことは実現できない。つまりリスクを負っているのである。本誌はこういう企業をリスペクトし応援する。
ことの顛末は以下の通りだ。
● ランサムウェア攻撃を受けるも無傷
株式会社朋栄は、横浜銀行および神奈川銀行の顧客向けに保険代理店業務を展開する企業。1976年の設立以来、損害保険12社、生命保険16社の商品を扱い、氏名・生年月日・住所・保険内容・口座情報など、8万件を超える顧客情報を管理している。
2024年11月、同社はランサムウェアによるサイバー攻撃を受けネットワーク内部にまで攻撃者が到達したが、データの棄損・喪失、データ閲覧、外部持ち出し、ログの消去・改ざん、いずれの痕跡も確認されなかった。
理由はシンプルである。攻撃者が暗号化しようとしたファイルは、すでにデジタルアーツ株式会社のファイル暗号化・遠隔削除ソリューション「FinalCode」によって暗号化されていたからだ。調査能力のあるランサムウェア犯罪集団も、極東のドマイナーセキュリティプロダクトの研究はしていなかった可能性が高い。
「FinalCode」は、ファイルが作成された瞬間から自動で暗号化して保護し、万が一の際には遠隔削除できるIRM(Information Rights Management)ソリューションで、高度な暗号化技術を採用し、閲覧者や操作権限も制限できる。要は手で触れるものをすべて黄金に変えるミダス王のように、あらゆるファイルをすべて最初から最後まで暗号化する。だから仮にファイルが流出した場合でも、権限のある人しか閲覧できないため、情報漏えいを食い止めることができる。
朋栄が新たなセキュリティ対策を検討していた2023年、同社はどこまで対策しても外部からの侵入を完全に防ぐことは困難だという結論に至り、発想を転換して、入口対策は可能な限り実施するが、100%依存せず、万が一侵入された場合に情報漏えいを食い止める手段を講じた。「FinalCode」の全社導入である。
● 個人情報保護委員会の判断
ランサムウェア攻撃を受けた後、朋栄は被害を受けた事実を個人情報保護委員会に報告したが、委員会は「高度な暗号化による秘匿化がなされている場合、漏えいした情報を入手しても事実上復号することができないため、漏えい等報告を要しない」と判断した。朋栄が採用している暗号化は、この基準を満たすものと委員会に認められた。肉は切られたが骨は無事。完全試合的な勝利である。攻撃を防ぐことはできなかったが、顧客情報は守り抜いた。
朋栄は「サイバー攻撃を想定外とせず、事前に備えることが不可欠」と語っているという。「FinalCode」のようなツールを活用した上で、事業継続体制の構築、社員の対応力強化が今後の課題だという。
暗号化という、本来は人類のセキュリティ向上のために誕生した技術を悪用して、GDP右肩下がりの国の上場企業などはるかに上回る悪徳収益をあげているのがランサムウェア犯罪集団だとしたら、奴らが用いるのと全く同一の暗号化という武器でギャフンと言わせた(言ったかどうかは検証していないが)ことが実に小気味よい事例である。
