脅威の調査

法規制が被害者と攻撃者にもたらすインパクト

米国の新しい情報開示規制が犯罪者ではなく、防御者のために機能する理由
作成者
2023、 12月 14
Threat Research ALPHV ランサムウェア CIRCIA SEC 最終規則 特集 脅威リサーチ

** 本記事は、Arrested Intimidation の翻訳です。最新の情報は英語記事をご覧ください。**

サイバー犯罪、特にランサムウェアが過去 20 年間で劇的に増加したことを考えると、犯罪捜査および金融規制の両方がこの犯罪の波と同時に (地域によっては多少前後して) やってきたことに驚きはありません。米国では、米国証券取引委員会 (SEC) によるサイバーセキュリティインシデントの報告スケジュールの厳格化や、サイバーセキュリティインフラ安全保障庁 (CISA) によるランサムウェアの支払いや重要インフラへの攻撃の報告に関する最終規則の準備が進む中、一部の関係者の間で次のような懸念が生じています。「犯罪者がこれらのルールを利用しようとすることはないのか?」

これまでの経緯

攻撃者が被害者を追い込むために規制を利用しようとした以前の例を確認しましょう。企業がデータ侵害や損失をどのように処理するかを規制する取り組みは、規制に積極的な欧州で始まりました。欧州連合の一般データ保護規則 (GDPR) や、同規則が保護する個人情報、違反した場合に課される高額な罰金については、今や誰もが知っています。(厄介な Cookie の警告をこの規則のせいにする人もいますが、警告は GDPR のせいではなく、別の法律である e プライバシー指令によるものです。)GDPR は、以下で説明する規制と同じ内容をカバーしているわけではありませんが、攻撃者がどのようにプロセスを悪用しようとしたかという点で、重要な類似点があります。

2018 年 5 月に GDPR が正式に施行されてから数か月も経たないうちに、侵害されたサーバーやデータベースを暗号化するだけでなく、情報を盗み出していわゆる「二重の恐喝」攻撃に使用するランサムウェアグループが増加し始めました。つまり、攻撃者は被害者に復号化キーの代金を支払わせるだけでなく、機密ファイルの公開を盾に取って被害者を恐喝していたのです。さらに、被害者の機密ファイルを公開するだけでなく、被害者が復号化キーの代金を支払わなければ、GDPR に違反しているとして当局に通報すると脅す「三重の恐喝」も確認されました。

この脅迫は効果的だったのでしょうか? 私たちがサイバー犯罪エコシステムで観察した多くの例と同様に、最も収益性が高く、効率的で、成功する恐喝スキームの発見を目的とした攻撃者による実験が何度も行われています。儲かるとわかったものはコピーされ、くり返されます。GDPR を使った脅迫が被害者の支払いの有無に影響を与えたとは考えられません。というのも、この手口はほとんど姿を消したからです。「二重の恐喝」は今後も続くでしょうが、GDPR への通報という余分な脅しは、攻撃者にとっては不要、あるいは効果がないと判断されたのです。

今後の動向

米国は一般的に、民間企業への直接規制に踏み込むことに関しては欧州よりも消極的です。また、米国では規則制定という重労働の多くが連邦レベルで処理されているのではなく、各州に委ねられているため、規制は複雑なパッチワークのようです。しかし、現在のサイバー犯罪の波は、米国の産業界に十分な経済的影響を及ぼしているため、連邦レベルの監視が認められている分野、すなわち重要インフラや上場企業に対する規制が策定されつつあるようです。

攻撃者が GDPR を武器化しようとした数年前と同様、これらの規制が武器化される懸念があります。株主や一般市民、そしてサイバー犯罪の被害に遭った顧客を守ろうとする規制の試みが、結果的に事態を悪化させることにはならないでしょうか。

実際、犯罪組織 ALPHV/BlackCat によって、サイバーセキュリティインシデントの開示に関連する SEC の新規則を悪用しようとする初歩的な試みがすでに行われています。2023 年 11 月、ALPHV はカリフォルニアに拠点を置くフィンテック関連の公開企業 MeridianLink のネットワークを侵害しました。ランサムウェアグループが被害者に支払いを強要するために恐喝を行うのは新しい現象ではありません。しかし、今回確認されたのは、米国の新しい規制を悪用しようとする、初の試みかもしれません。

実際には、ALPHV は MeridianLink のネットワークを最初に侵害した後、彼らの要求に対する反応が不十分だと判断しました。この脅迫者はその後、MeridianLink が「重大な違反」を「SEC の新規則で義務付けられている 4 営業日以内に」 Form 8-K で株主に開示しなかったとして、SEC に苦情を申し立てたとされています。もちろん、重要なサイバーセキュリティインシデントの開示に関する新しい SEC 最終規則の施行日は 12 月 18 日であり、ALPHV が与えたとされる損害は、株主に通知する必要がある「重要な」イベントの定義に合致しない可能性があります。

改めて気になるのが、この行為が効果的なのかどうかということです。攻撃者が被害者を当局に通報すると脅すことで、身代金を支払うようさらなる圧力をかけることができるのでしょうか。このような脅迫の潜在的効果を評価するため、新規則を詳しく見てみましょう。

CIRCIA と SEC: 最新情報

2022 年 3 月に成立し、CISA が 2024 年 3 月までに最終規則を発表する予定2022 年重要インフラ向けサイバーインシデント報告法 (CIRCIA) は、連邦政府の重要インフラ部門と取引のある官民双方の組織、つまり広範囲の米国企業に対して、同法の対象となるサイバーインシデント (72 時間以内) および身代金の支払い (24 時間以内) を CISA に報告することを義務付けています。CISA は米国国土安全保障省 (DHS) の一部門です。対象となる業界は以下の通りです。

  • 化学
  • 商業施設
  • コミュニケーション
  • 重要製造業
  • ダム
  • 防衛産業基地
  • 緊急サービス
  • エネルギー
  • 金融サービス
  • 食品と農業
  • 政府施設
  • 医療と公衆衛生
  • 情報技術 (IT)
  • 原子炉、材料、廃棄物
  • 輸送システム
  • 上下水道システム

一方、米国証券取引委員会 (SEC) では、公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデント開示に関する最終規則 (以下「最終規則」) が 2023 年 7 月 26 日に承認され、9 月 5 日に発効しました。

最終規則は、1934 年証券取引法 (改正後) の報告義務の対象となる公開企業に対し、サイバーセキュリティインシデントが重要であると企業が判断した日から 4 営業日以内に、Form 8-K の項目 1.05 として「重要な」サイバーセキュリティインシデントを報告することを義務付けています (ただし、深刻な国家安全保障または公共安全リスクに関する限定的な例外を除きます)。

さらに、最終規則では、企業のサイバーセキュリティリスク管理および戦略、ならびに企業のサイバーセキュリティガバナンスに関して、Form 10-K による新たな年次開示を義務付けています。同様に、外国民間発行体 (FPI) は、Form 20-F の年次報告書で同様の年次開示を行い、Form 6-K で重要なサイバーセキュリティインシデントの開示を行わなければなりません。

Form 8-K および Form 6-K における新しいサイバーインシデント開示要件の遵守期限は、ほとんどの公開企業において 2023 年 12 月 18 日に開始され、新しい年次サイバーセキュリティ開示の遵守期限は、2023 年 12 月 15 日以降に終了する会計年度の Form 10-K または Form 20-F における公開企業の年次報告書から開始されます。

まず、CIRCIA は 3 つの主要な問題に対処できると私たちは考えています。第一に、国家安全保障を脅かしかねない攻撃が進行中であることを CISA に通知し、被害者に迅速な支援を提供するための「騎兵隊の招集」を可能にすることです。第二に、CISA に新たな攻撃の発生を知らせることで、CISA は他の重要インフラ事業者に積極的に働きかけ、警告を発したり、同一または類似の攻撃者からインフラを守るための支援を提供したりできます。 第三に、CISA が攻撃の回数や、身代金の支払額を把握できます。

この分野の専門家として、また政府、学界、民間企業の多くの人々と頻繁に政策について議論している者として、私たちが直面している最大の問題のひとつは、攻撃の範囲と規模を把握することです。ほとんどの国では、サイバー攻撃による犯罪が報告されない限り、その規模や被害の増大に見合った法執行の専門家に資金を提供できません。これは、世界中どこでも同じです。これらの新規則は、国が対象の業界において、この問題を把握しようとする試みです。

今日に至るまで、多くの組織は、こうしたインシデントを法執行機関に報告することで攻撃が公にされることや、犯罪者が意図的に自社のシステムにさらなる混乱をもたらすかもしれないことを恐れていました。 結局のところ、攻撃や侵害の話が公開されることは、消費者の信頼を低下させ、株価にダメージを与え、攻撃者自身との交渉を混乱させる可能性があります。

CIRCIA の規則は、CISA がこうした攻撃の規模を測定するのに役立ち、攻撃の公開ではなく、CISA 自身への報告のみを要求します。このことにより、当局と関わることへの恐怖が和らぎ、より正確な被害額の評価が可能になり、CISA およびそのパートナーは、このような差し迫った危機に対してタイムリーな支援を提供できるようになるはずです。

一方、SEC 規則の変更は、企業にとって「重要」なサイバーセキュリティ上の問題について、投資家に対して「一貫性があり、比較可能で、意思決定に有用な開示」を行うことをより重視しています。SEC が提出する Form 8-K や Form 10-K は一般公開されているため、組織の評判により大きな影響を与える可能性がありますが、重要なサイバーセキュリティ問題の開示自体は、新しい最終規則の制定前にすでに要求されていました。 私たちの見解では、本記事で紹介するシナリオで読者が関心を持つべき主な変更点は、公開企業はインシデントが「重要」であると判断してから 4 営業日以内に重要なサイバーセキュリティインシデントを開示しなければならず、特定の詳細情報を Form 8-K の Item 1.05 に記載しなければならなくなったことです。以前は、インシデントが「重要」であると判断されてから 4 営業日以上経過してから開示することも可能であり、公開される情報も企業ごとに一貫していませんでした。

恐喝の効果

ALPHV ランサムウェアのオペレーターが、新しい SEC 最終規則を知っている程度には狡猾でありながら、カレンダーの仕組みを理解していなかったと考えるのでなければ、MeridianLink に対する 11 月の攻撃は、新しい SEC 最終規則が実際に施行された後、被害者に対する効果的な脅威として使用できるかどうかを確認するために、規制そのものを武器化しようとした一種の試みだったようです。試みが失敗したことを考えると、期待したほどの効果はなかったのでしょう。

これにはいくつかの理由があります。10-K や 8-K を提出する必要がある組織は、従来よりサイバーセキュリティインシデントが重要であれば報告する義務がありました。この判断は、資産を守り、損害の程度を確認するのに手一杯な状態では行えないでしょう。(公開企業が SEC の規則に従えずに法を犯すことはないだろうと思われるかもしれません。)さらに、ほとんどのランサムウェア攻撃では、攻撃者はデータを暗号化した段階ですでに盗み出しています。彼らの意図は、身代金を支払わなければ情報を公開すると脅すことであるため、SEC にコンプライアンス違反で報告したところで、たとえ実際にコンプライアンス違反を犯していたとしても、交渉にさらなる影響力を与えることはないでしょう。

良いニュースは、被害を受けた組織がこれらの脅威を心配することはほとんどないということです。FBI (米国連邦捜査局) をはじめとする法執行機関は、被害者を公にするために存在するのではなく、むしろ助言、支援、そして最も重要なこととして、被害者と私たちの集団安全保障の双方に役立つ犯罪の記録を提供することを目的としています。CIRCIA の役割は処罰ではなく、むしろ CISA が米国の国家安全保障を守るために必要な情報を確実に入手し、可能な場合には支援を提供することです。コンプライアンス違反に対して罰金や民事罰を科す権限を持つ SEC でさえ、その目的は投資家がこうした壊滅的な攻撃の影響を理解できるようにすることです。本質は罰することではなく、保護メカニズムを形成することです。CIRCIA は、組織が情報セキュリティに真剣に取り組み、セキュリティ体制を強化する努力をより進展させるはずです。

効果的な防御のために

効果的な防御のためには、私たちが直面している脅威や、その脅威がどのように展開し、時間とともにどのように進化しているかを明確に理解することが必要です。警察であれ、連邦政府であれ、あるいは民間のセキュリティプロバイダーであれ、私たちは皆、最新かつ正確な情報に頼って防衛を行っています。この規則改正が、私たちが直面している脅威をより確実に理解するのに役立つことが理想的です。攻撃者が、本来私たちを守るためのルールを、被害者に圧力をかけて彼らの要求に屈服させるための武器に変えてしまわないよう、私たち全員が自分の役割を果たす必要があります。

 

免責事項

本記事の内容は、情報提供のみを目的としたものであり、著者の意見を反映したものです。ソフォスは、特定の事実や事項に関して、法的またはその他の専門的なアドバイスや意見を提供するものではありません。ソフォスは、本記事の使用に関していかなる責任も負わないものとし、SEC または CIRCIA の報告要件に関しては、各自で法律またはその他の専門家のアドバイスや意見を求める必要があります。

著者について

Chester Wisniewski is Director, Global Field CTO at next-generation security leader Sophos. With more than 25 years of security experience, his interest in security and privacy first peaked while learning to hack from bulletin board text files in the 1980s, and has since been a lifelong pursuit. 

Chester works with Sophos X-Ops researchers around the world to understand the latest trends, research and criminal behaviors. This perspective helps advance the industry's understanding of evolving threats, attacker behaviors and effective security defenses. Having worked in product management and sales engineering roles earlier in his career, this knowledge enables him to help organizations design enterprise-scale defense strategies and consult on security planning with some of the largest global brands.

Based in Vancouver, Chester regularly speaks at industry events, including RSA Conference, Virus Bulletin, Security BSides (Vancouver, London, Wales, Perth, Austin, Detroit, Los Angeles, Boston, and Calgary) and others. He’s widely recognized as one of the industry’s top security researchers and is regularly consulted by press, appearing on BBC News, ABC, NBC, Bloomberg, Washington Post, CBC, NPR, and more.

When not busy fighting cybercrime, Chester spends his free time cooking, cycling, and mentoring new entrants to the security field through his volunteer work with InfoSec BC. Chester is available on Mastodon (securitycafe.ca/@chetwisniewski).

For press inquiries, email chesterw [AT] sophos [.] com.

関連記事を読む

コメントを残す

Your email address will not be published. Required fields are marked *