コラム第７７５号：「ランサムウェア攻撃の被害時に活用可能なベンダー選定チェックシートの紹介」

第７７５号コラム：北條　孝佳　理事（西村あさひ法律事務所　パートナー　弁護士）
題：「ランサムウェア攻撃の被害時に活用可能なベンダー選定チェックシートの紹介」

近年、データ復旧に関するトラブル事例が複数発生しており、これに危惧の念を抱いたことから、ＩＤＦをはじめ５団体（※１）が共同で「データ被害時のベンダー選定チェックシート　Ｖｅｒ．１．０」（以下「チェックシート」という。）を作成し、公開した（※２）。本コラムではこれについて解説する（※３）。

サイバー攻撃の被害は後を絶たず、特にランサムウェア攻撃は、バックアップも含めて事業に活用しているデータが暗号化されて使えなくなってしまうことがある。そのため、被害組織にとっては業務の停止を余儀なくされ、場合によっては事業自体を撤退せざるを得ないこともある。このような事態が発生しないようランサムウェア攻撃を防止することに注力しつつ、被害を最小化するためにも適切なバックアップを取るようにすべきだが、全ての組織がこのような対策をすぐに実施できるわけではない。このような状況においてランサムウェア攻撃による被害が発生した場合、データの復旧を期待してデータ復旧事業者に依頼する場合がある。しかし、データ復旧事業者との間で確認を怠ったり、適切な合意を取っていなかったりしたために、データ復旧に関するトラブルになることがある。また、技術的に復旧方法が存在しないにもかかわらず、データ復旧事業者から復旧できる旨を説明されたため依頼したところ、結局復旧できずに料金を請求されたといったトラブルも発生している。このような事態を避けるべく、トラブルに遭いやすい項目をチェックシートとして作成したものである。

チェックシートはエクセル形式のファイルとして提供しており、ＩＤＦの会員・非会員を問わず、いつでも誰でも無償でダウンロードが可能である。チェックシートはランサムウェア版と通常版のシートに分かれており、通常版のチェック項目はランサムウェア版に全て包含されているため、以下はランサムウェア版に基づき解説する。

被害組織がデータ復旧を依頼する場合、事業者を選定する段階と、選定した事業者と契約を締結する段階とがあるため、チェックシートは「依頼前・事業者選定・問い合わせ」と「データ復旧着手の事前確認・契約前」に分かれている。チェックシートは、この２段階に分けた質問及びこれに関するキーワード、回答選択肢に加え、解説を記載している。

この２段階における質問のうち２つを例として取り上げて解説する。

１つ目は、「依頼前・事業者選定・問い合わせ」の段階における質問Ｎｏ．３「データ復旧率の高さをデータ復旧の事業者選定の基準にしましたか？」である。データ復旧率は、広告や宣伝に使われやすく、勘違いの元になるために設けた質問である。この解説には、「データ復旧率の定義は各社バラバラです。データ復旧率については定まった基準がないため、復旧率だけを鵜呑みにしないように気をつけましょう」との注意喚起を促している。データ復旧率だけを見てデータ復旧事業者を選定した場合、ランサムウェア攻撃の被害に遭ったデータもこの復旧率で復旧できると勘違いしてしまい、結局はデータが復旧できないにもかかわらず、場合によっては高額な復旧料金を請求されてしまう。もちろん、このことを理解した上でデータ復旧の依頼をしたならば問題ないが、そうではない場合、トラブルとして発展する事例も多い。このような事態に陥らないようデータ復旧事業者がきちんとデータ復旧率の説明をすべきであるが、思い込みで依頼してしまう被害組織も注意すべきである。
（一社）日本データ復旧協会（ＤＲＡＪ）が公表した「データ復旧サービスのガイドライン「データ復旧率」表記に関するＤＲＡＪの見解（第１版）」（※４）（以下「データ復旧サービスのガイドライン」という。）にもデータ復旧率の曖昧さが解説されており、利用者は、このことを事前に把握しておけば、データ復旧率の高さをデータ復旧事業者の選定基準から除外しておくことができる。

２つ目は、「データ復旧着手の事前確認・契約前」の段階における質問Ｎｏ．１０「対象機器を復旧事業者に預ける前に、返却手順や返却のタイミングを確認しましたか？」である。この質問の解説は、「対象機器を送付した事前確認の場合、契約前に対象機器を復旧事業者に渡すことになり、契約するまで返却されない状況が作られてしまいます。対象機器を送付する前に返却方法を事前に合意しましょう。」としている。対象機器をデータ復旧事業者に送付する前に、返却方法を確認しておかなければ、対象機器が返却されない状況に陥るために設けた質問である。そのようなことが起こるのかと疑問に思われるかもしれないが、前述の「データ復旧サービスのガイドライン」にも苦情が寄せられた相談事例として記載されている。

このように、各質問には質問が設けられた理由や注意点も解説しているため、あらかじめ平時に目を通しておいてほしい。

チェックシートは、各質問に対して回答を選択する仕組みにしており、「はい」、「いいえ」に加え「不明・対象外」の３つが用意されている。各質問には重要度に基づいて重みづけがされており、チェックシートの利用者がいずれかの回答を選択すると、それに応じてチェックシート最下部にある「リスク判定」の結果が自動的に集計されて点数で表示される。なお、「不明・対象外」を選択した場合は、点数が反映されないようになっている。

「リスク判定」の結果は１００点満点であり、すべてのチェック項目に回答した点数が７５点未満の場合は合計点数欄の背景色が黄色に変わり、５０点未満の場合は赤色に変わる。黄色や赤色になる応対をしたデータ復旧事業者との間で契約を締結してしまうと、トラブルに遭遇する危険性が高いことを示している。特に、ランサムウェア攻撃の場合、犯行グループと交渉しないことや身代金を支払わないことを決定していた場合であっても、データ復旧事業者との間においてこれらの決定事項が合意されていなければ、当該事業者が利用者の意思に反して勝手に犯行グループと交渉や身代金の支払いをしてしまうおそれもある（※５）。
なお、リスク判定の結果、背景色が変わらない場合であっても、チェックシートはすべてを網羅した万能なものではないため、トラブルが全く発生しないわけではない点には注意してほしい。

データ復旧事業者とのトラブルを避けるために重要なことは、対象機器の送付前や契約の締結前に、データ復旧事業者をチェックすることである。多くのトラブル事例では契約を締結した後に問題が生じてしまうため、契約を一方的に解除することは容易ではないことも念頭に置いてほしい。
チェックシートの活用により、１件でも多くのデータ復旧に関するトラブル事例が減ることを願っている。

※１）５団体のうち、ＩＤＦを除いた４団体は以下のとおりである。
①（一社）日本データ復旧協会
②ＮＰＯ日本ネットワークセキュリティ協会
③（一社）日本コンピュータセキュリティインシデント対応チーム協議会
④（一社）ソフトウェア協会
※２）「データ被害時のベンダー選定チェックシート　Ｖｅｒ．１．０」
https://digitalforensic.jp/higai-checksheet/
※3）より詳細な背景も含めた内容の記事は情報処理学会にも投稿している。
https://note.com/ipsj/n/n2c875041112c#1adde485-6be8-4d45-b14f-6fe54c172d9e
※4）「データ復旧サービスのガイドライン「データ復旧率」表記に関するDRAJの見解（第１版）」（（一社）日本データ復旧協会）
https://www.draj.or.jp/wp-content/uploads/Data_recovery_service_guidelines.pdf
※5）「医療機関に対するサイバー攻撃の実態と、事例から見える教訓、直ちに行うべき対策について」資料58-61ページ
https://www.shizuoka-hk.org/cmsdesigner/dlfile.php?entryname=news&entryid=00389&fileid=00000001

【著作権は、北條氏に属します】