不正アクセスを受けた後の対応。事象の重大度にも依りますが結構バラバラだったりします。個人情報やクレジットカード情報の流出などで外部の会社に調査を求めたケースだとテンプレート通りの対応だったりするのですが、そうではない場合はある意味「会社側の誠意次第」という感じだったりします。でも、それで本当に良いのでしょうか?今回の記事は弊社基準で「こうした方が良いよ」という一例になります。ベターな対応はあるけどベストな対応は無い世界なので、その点は御了承ください。
先ず、不正アクセスには様々なケースがあることを知っておきましょう。
- 個人情報流出・クレジットカード情報流出
- サイト改竄(閲覧者への影響無し)
- サイト改竄(別サイトに転送される)
- サイト改竄(マルウェア等がダウンロードされる)
- サービス不能になる(ランサムウェアによる暗号化や、DoS攻撃による)
1.のケースは情報セキュリティ調査会社を入れてキッチリと調査をするケースが殆どだと思います。流石に「自分達で適当に調べる」という会社は皆無だと信じたいところです。このケースだとサービスを停止し調査を行う、警察に届け出る、第一報を出す、被害者に連絡する、最終報を出すはセットになっていると思われますので事後対応については特に問題は無いかと思います。勿論、サービス開始までには新たにサーバーを立てて再構築するなど、セキュリティ対策をしっかりする必要があります。新たにサーバーを立てる理由は他のケースも同じなのですが「どこまで侵害されているのか不明である」事と、調査報告を受けた後できるだけ早くサービスを再開するためです。
2.のケースはほぼ全てが「何もしない」を選択するかと思います。実際、弊社が改竄をお知らせした企業様は全てが「何もしない」でした。酷いところだと、改竄された部分を削除しただけで「他には何もしない」ところもありまして、流石にそれはないだろうと思ったら繰り返し改竄されたというところもありました。まあ、このメルマガをお読みの企業・団体様は絶対にそんな事はしないと信じていますけど。では、このケースの場合「何もしない」は正しい判断なのでしょうか?弊社としては情報セキュリティ調査会社に調査を依頼していない(ほぼしないと思います)のならば影響範囲が判らないので「改竄の事実と、閲覧した方へのウイルスチェック推奨のお知らせ」はサイトに掲載すべきであると考えます。
3.のケースも一般的な対応は2.のケースと同じ企業・団体が殆どです。弊社が実際に確認したケースも「何もしない」でした。ただ、これは「何もしない」を選んだ企業・団体は最悪の対応だと言わざるを得ません。転送された先がフィッシングサイトだと「アカウント情報を盗まれている可能性」がありますので「改竄の事実と、閲覧した方へのパスワード変更のお知らせ」をサイトに掲載すべきであると考えます。また、ラッキービジターサイトのようにクレジットカード情報を窃取するサイトだと「改竄の事実と、閲覧した方へのクレジットカード情報漏洩の可能性のお知らせ」をサイトに掲載すべきであると考えます。あと、偽のシステム警告を出すサイトの場合には「改竄の事実と、詐欺サイトへ飛ばされた可能性のお知らせ」をサイトに掲載すべきであると考えます。いずれにしても改竄が発覚した際には情報セキュリティ調査会社に調査を依頼する方が良いかとは思います。
4.のケースも一般的な対応は2.のケースと同じ企業・団体が殆どです。弊社が実際に確認したケースも「何もしない」でした。ただ、これは「何もしない」を選んだ企業・団体は最悪の対応だと言わざるを得ません。「改竄の事実と、閲覧した方へのウイルスチェック推奨のお知らせ」はサイトに掲載すべきであると考えます。場合によっては被害が閲覧をしていない他者へも拡大している可能性もあるのでお知らせは必須であると言えます。
5.のケースは閲覧しようとした人には「閲覧出来ない」程度の被害しかないので、その被害が「DoS攻撃」で発生した場合には「何もしない」でも良いかと思いますし、対策をしにくいこともあるので出来ることは限定的だと思います。対策としてはCDN(コンテンツ配信ネットワーク)の導入がありますが、これも設定を適切にしないと別の事故を起こす可能性があるので慎重な判断が求められます。あと、「ランサムウェアによる暗号化」の場合には発生の事実はお知らせしておいた方が良いかと思いますし、ランサムウェアの挙動次第ではありますが「ウイルスチェック推奨のお知らせ」はサイトに掲載した方が良いかと思います。この場合、ランサムウェア被害に遭ったサーバーとは別にサーバーを立てる必要があります。
長々とケース毎に書きましたが、基本的には閲覧者へのお知らせは必須であると考えて頂ければと思います。
不正アクセス被害後の対応としては、被害内容の把握→(ケースによりサービスの停止)→(ケースにより警察への届出)→影響範囲の調査(ケースにより専門会社に依頼)→(ケースにより個人情報保護委員会に速報を提出)→(ケースにより第一報を掲載)→(ケースによって被害者に個別に連絡)→セキュリティ対応を実施→復旧→(ケースにより個人情報保護委員会に確報を提出)→お知らせの掲載(最終報の掲載)という流れになります。基本的には「被害が軽いからお知らせはしない」という選択肢は無いと思って頂くと良いかと思います。最近は特に世間の目も厳しいので「お知らせを出した方が好印象になる」と思った方が良いです。出さないと「隠蔽体質の企業・団体である」という印象が付いてしまいイメージを悪くするだけだと思ってください。