見出し画像

気になるニュース、「0101夜 深刻、委託業者のランサムウェア被害」

ガシャ

今朝のNHKニュースで気になる内容がありましたので、早速記事にします。

さらっと「ランサムウェア」と言っていましたが

ニュースのリンクは、「6700人余の個人情報流出か 総務省の業務委託先サーバー感染」です。(2021年4月11日)
ニュースでは、「ランサムウェアと呼ばれるマルウェアに感染し」とさらっと言っていましたが、深刻な問題です。悪意のないミスによって個人情報が流出してしまうケース(典型的にはWEBサイト上の誰でも閲覧できる場所に掲載)も充分に深刻なのですが、悪意をもった何者かに狙われたという意味でランサムウェア被害はより深刻です。
総務省の発表資料のリンクは、「委託業務受託者のサーバーに対する不正アクセス」(総務省トップ>広報・報道>報道資料一覧 令和3年4月8日)です。

ランサムウェアに入られた時点でアウト!身代金を払って解決することはまずない

このニュースでは意図的にかどうかはわかりませんが、ランサムウェアについての説明がありません。ランサムウェアは、身代金脅迫を行うのが特徴です。金銭目当ての犯人の目的ははっきりしています。(愉快犯や怨恨もありえますが)
ランサムウェアは目的のシステム(サーバや個人のパソコン)に侵入すると以下の動作をします。
1. 人質となる情報を盗み出して犯人のもとに送出する
2. 当該システムをロックして本来のユーザがアクセスすることを妨げる
3. 「金銭を支払わなければ、ロックを解除できない。金銭を支払わなければ、情報を流出させる」という脅迫を本来のユーザに対して行う
問題なのは、3.に書かれている通りの要求に従った場合に「解決」するかというと解決しない恐れが高いということです。
身代金を支払ってもロックが解除されない可能性がありますし(実はロックが解除できたという話は聞いたことがありません)、情報の流出は犯人側の意のままにある状態は将来にわたって変わりません。金を取れれば、「約束」を反故(ほご)にしても犯人は捕まることはまずない、足がつくことはまずないからです。
だから、ランサムウェアに侵入された時点でアウトです。ランサムウェアでなくても情報を盗み出すようなマルウェア(いわゆるウイルス)の侵入を許してはいけません。

犯人側の心理に立って考えると

前述の1.、2.、3.に沿って、犯人の心理に従って考えてみます。
1.は「情報の盗み出し」です。成功すれば、脅迫に利用できます(ランサムウェア)し、脅迫に使用しなくても、他者に売って利益をあげることも可能です。それからこのニュースの範囲外ですが、「情報を盗んだ」とウソをついて脅迫することも可能です。
2.は「システムの乗っ取り」です。ユーザに対して害を及ぼすことで、「犯行声明」を出し脅迫を行えるようにします。ここで考えてほしいのは、「ランサムウェア(身代金要求)」ではこのステップは必要ですが、身代金要求をしなくても目的を達成できる場合は、犯人は無理にユーザに対して犯行が行われていることを明らかにする必要がないことです。情報流出させること自体が目的であったり(怨恨や愉快犯)、盗んだ情報を高値で転売できることがはっきりしていれば、(私が犯人なら)2.以降は行いません。面倒くさいですし、当該システムに居座ってさらなる情報盗み出しをする機会がなくなるからです。
3.は、「金銭要求」です。ランサムウェアである限りは、これは省けませんが、前述の通り、行うか行わないかは犯人側の目的や必要性によって変わってきます。
そして、首尾よく身代金を手にした犯人は、ロックを解除するでしょうか、盗んだ情報を「返す」でしょうか。ロックを解除したり、盗んだ情報を返したりすることは犯人側にはメリットはないので、「約束」は守られないはずです。

ランサムウェアは氷山の一角なのでは?

総務省の委託先が被害にあったことで、今回の件はニュースになりました。個人が被害にあったり、民間企業が被害にあったりした場合に明るみになるでしょうか? クレジットカード会社や通販会社、航空会社などのように個人情報流出が多くの一般消費者に及ぶ場合はニュースになりますが、個人やBtoB(企業間取引)が被害にあった場合はニュースにならず、秘匿されるでしょう。
さらに「犯行声明」をともなわない、ランサムウェアではないタイプの「情報盗み出し」の方が多いと考えるのが普通ではないでしょうか。
やはり状況は深刻であると思います。

2021年4月11日のコメント

マイナンバーカードを作るとポイントがもらえるそうですが、筆者はそんな餌に釣られて自分の個人情報を危険にさらす価値はないと考えて作成申請はしていません。
デジタル庁が設置されようとしていますが、政府や行政にデジタル化された個人情報を委ねることには懸念があります。彼らは民間委託せざるを得ません。広範に民間委託が行われるということは、危機管理が不充分な委託先もどうしても含まれてしまうことでしょう。一度、盗まれたり、流出したりしたら、取り返すことができないのが電子化された情報です。審議中のデジタル関連法成立と、内閣が推し進めるデジタル庁設置は、断念すべきだと思います。
では、また明日。

この記事が気に入ったらサポートをしてみませんか?