第836号コラム:松本 隆 理事(株式会社ディー・エヌ・エー IT本部 セキュリティ部 サイバーアナリスト)
題:「劇場型サイバー攻撃とSNSがもたらす企業への致命的なダメージ」
2024年6月27日及び7月1日(日本時間7月2日)にランサムアクターBLACK SUITによってダークウェブ上に公開された株式会社ドワンゴから窃取された個人情報を含むデータは当のアクターの手を離れ、日本の悪質なネットユーザーによって様々なオンラインストレージ上にクローンが作成され、いまも拡散され続けている。
親会社であるKADOKAWAは、データを共有・掲載し続けるネット掲示板やSNS等のプラットフォームに対して削除要請を行い、悪質性の高い書き込みについて、発信者に関する情報開示請求を行うなど法的措置を講じる準備を進めている。だが、それに反発するように匿名の誰かの手によってデータはアップロードされる。
SNSにまん延する、このKADOKAWAに対する悪意の大きさはなんだろうか。
今回の悪意の大きさについて考えるとき、身代金を払ったと断じた報道の影響は大きいと思う。BLACK SUITは6月8日に最初の脅迫メールをドワンゴの幹部に向けて送付し、経営層を直接揺さぶり、翻弄していたようだ。しかし一方でKADOKAWAは、6月9日に不正アクセスによるシステム停止のプレスを公開した当初から情報をコントロールしながら発表し、サービス利用者からは一定の理解と支持を得ていた。そして、6月18日の株主総会を無事乗り切り、株価が持ち直したところを、6月22日に公開されたNewsPicksの身代金支払い疑惑の暴露記事がひっくり返した。私は企業でリスク案件に対応する側として、記事を読んだ時に思わず頭を抱えた。なぜこのタイミングなのか。そしてなぜ情報ソースがよりによって関係者からのリークなのか、と。
その後ダークウェブでサンプルデータと本番のリークが行われたが、騒ぎを聞きつけて集まったネットユーザーだけでなく、一部のセキュリティ専門家と言われる人たちも「身代金を支払ったのに公開されたお粗末な事例」として、ダウンロードされたデータやリークサイトのリンクを共有するなどして、リークデータの拡散に事実上協力していた。正しいSNSの活用を啓発すべき立場の人間が、むしろネットの悪意を後押しし、結果、拡散行為を助長するように働いたところがあったのではないか。SNSはダークウェブのリークサイト以上に盗まれたデータの拡散に利用され、まるでひどい犯罪インフラのようだった。Xなどでは既に本件で拡散された個人情報の悪用事例も報告されているが、拡散された個人情報は、今後もいたずら目的で悪用されることが予想される。海外の犯罪者でなく、日本のネットユーザーの悪意によって。
本事案ではランサムアクターが仕掛ける、犯行声明を広く公表し、話題性の高い被害企業のデータを選別して公開することで世間の注目を集める「劇場型」のサイバー攻撃がもたらす恐ろしさが改めて垣間見えたともいえる。BLACK SUITは日本におけるNewsPicksを筆頭とした報道とSNSでの盛り上がりを明らかに認識している。リークサイトに公開された情報は「映える」ような話題性が高いものが選別され、犯行声明ではデータ盗難の影響を日本国民にまで広げて煽る。今回、BLACK SUITがどこまで計算していたのかは分からないが、テレビや新聞などの大手マスメディアだけでなく、WebメディアやSNSでの話題性まで意識し、揺さぶりをかけてきたといえる。劇場型サイバー攻撃であるランサムとSNSの親和性は非常に高く、組み合わさることでネットユーザの悪意を増幅させ、被害企業に致命的なダメージを与えかねないと改めて気づかされた事案だった。
劇場型サイバー攻撃とSNSがもたらす致命的ダメージを軽減するために被害企業には何ができるだろうか。今回の事案の観測結果を踏まえ、筆者は以下の4つが有効ではないかと考えている。
①インシデントレスポンス時におけるグループ全体での報道対応の体制や基準・マニュアルの整備と訓練
②適切なタイミングでの被害企業公式からの情報開示
③プレスリリースや外部メディアによるニュースのタイミングでのSNS等のシェア、投稿、データ拡散状況の観測
④SNS等での権利侵害に関わる投稿やデータの共有に対する開示請求と極めて悪質なケースでの法的措置
被害企業にとって特にネットユーザーとの向き合い方は大きな課題であろう。彼らの思惑は読み切れるものではなく、対応によって逆に大きな反感を買うこともあり得る。正解など存在しないのかもしれないが、企業は善悪を超えて情報をシェアするネットユーザーとこれからも向き合い続けねばならない。
以上
【著作権は、松本氏に属します】