1. はじめに
近年、サイバーリスク、サイバー攻撃といった「サイバー」がつく言葉や、データ保護やデータ侵害といった「データ」がつく言葉をよく目にしたり耳にしたりする機会が増えてきておりますが、保険業界においても「サイバー」や「データ」に関連した事故事例が世界的に増えてきております。東京海上グループでは英国や米国のグループ会社を通じて日本に限らず世界で発生している事故事例に対応しておりますが、「サイバー」や「データ」に関連した事故事例は、米国で発生したものが最も多く報告されています。
1.前言
最近幾年常常聽到或看到網路風險、網路攻擊、資料保護、資料外洩等「網路」及「資訊」的字眼,而在保險業界中,「網路」、「資訊」相關的事故也不斷在世界各地發生。東京海上集團針對此類事故賠案的處理範圍涵蓋了日本、英國、美國等全世界各地的企業,其中又以美國的事故賠案居多。
これは、米国では州によって内容は異なるものの厳格なデータ保護に関する法律が存在し、その法律に抵触するデータ漏えい等データ侵害事案が発生した場合には、米国特有のクラスアクションが提起され、高額な弁護士費用や賠償金支払いが発生すること、そして、この高額化する経済損失リスクをカバーするサイバー保険が普及していることが要因として挙げられます。米国にて頻繁に発生している「サイバー」や「データ」に関連する事例からの気づきにつき、紹介いたします。
在美國雖然各州皆不同,但相同的是對於資料保護都有很嚴格的法令,而在美國特有的集體訴訟(Class Action)制度下,就會產生高額的律師費用及保險金,當發生與資料保護相關法令牴觸之資料外洩或受侵害的事故時,為了轉嫁高額的經濟損失風險,資安險相對成為一個非常普及化的保險商品。接下來為各位介紹在美國頻繁發生的「網路」、「資訊」事故案例中值得注意的地方。
2. 米国における事例からの気付き
(1)クレジットカード情報保護強化の必要性
ディープウェブやダークウェブといったウェブサイトの一部は、闇取引や犯罪に利用されており、これらのサイトでは不当に入手された大量のクレジットカード情報が取引されています。これらのクレジットカード情報は、ハッカー等によって埋め込まれたコンピューター内のマルウェアから盗み取られていることがほとんどです。クレジットカード情報を取り扱うレストランやスーパー、ホテル等が主な標的とされており、マルウェアを埋め込む手段は直接的なものもあれば、取引先のコンピュータをハッキングした上で同コンピューターを経由するといった間接的なものもあります。最近のマルウェアはコンピューター内への侵入やデータの抜き取り記録を自ら削除するものもあるため、マルウェアの存在に気付かず、長期間にわたりデータが盗み取られることがあります。これらマルウェアの侵入については、完全に防ぐことは不可能と考えられており、マルウェアの侵入があることを前提とした自衛策が重要となります。
2.美國案例的注意要點
(1)必須要加強信用卡的資料保護
暗網交易及犯罪者利用不法手段從深網或暗網(屬於網際網路的一部分)大量取得信用卡資訊,而這些信用卡資料多半都是駭客運用植入電腦裡的惡意軟體盜取所得。駭客們會將使用信用卡作為交易工具的餐廳、超市、飯店等地方列為主要下手的目標,盜取的手法則可分為:1)直接取得,例如植入惡意軟體;2)間接取得,駭入主要目標的電腦。
惟最近的惡意軟體會自行刪除其被植入電腦或擷取資料的紀錄,因此我們無法注意到惡意軟體的存在,導致長期被盜取資料卻不自知。這些惡意軟體的入侵被視為不可能完全防堵,因此在惡意軟體已存在的前提下去思考如何自我防衛變得非常重要,而這就不得不提到信用卡的交易方式。
クレジットカード利用に際しては、①磁気ストライプ部分をスワイプする方法と、②ICチップが埋め込まれている部分を差し込む方法がありますが、①の場合には、磁気ストライプ部分に記録されたクレジットカード情報(クレジットカード番号、名義人、有効期限等)が暗号化されないまま読み込まれます。そのため、もし暗号化等の処置が別途とられていない場合には、盗み取られたクレジットカード情報が不正使用されてしまいます。一方で②の場合には、ICチップによって情報が暗号化されるため、万が一情報を盗み取られた場合でも不正利用される可能性は格段に下がります。クレジットカード情報を取り扱う業界においては、
決済システムのICチップ対応化が重要な自衛策となります。信用卡交易有兩種方式:
1)刷磁條,使用時磁條裡紀錄的內容(信用卡號、使用人、有效期限等)是在無加密的情況下被讀取,因此若是沒有另外使用加密等處理方式的話,被盜取的信用卡資訊就會被不法使用。
2)插入IC晶片端,由於IC晶片可加密,倘若真的被盜取資料時,被不法利用的可能性會大幅下降。因此對使用信用卡交易的產業來說,將結帳系統改為使用IC晶片是重要的自我防衛對策。
(2)ウィルス感染からの復元時における証拠保全の必要性
ランサムウェアに感染した事案において、身代金を実際に支払って解決している事案は多くはないと言われています。米国FBI等捜査当局も、ランサムウェア事案において身代金を支払わないことを推奨しています。これは、身代金を支払ったとしても必ずしも解除できるとは限らず、また、ダークウェブ等で犯罪者間はつながっているため、成功事例を聞きつけた別の犯罪者が再度ランサムウェア攻撃をしかけてくることもあり、必ずしも根本的な解決にはつながらないためです。そのため、①専門業者にて有している解除コードを使用する、あるいは、②ネットワークから隔離した上でランサムウェアに感染してしまったコンピューターをクリーンアップし、バックアップしてあるデータを復元するといった方法で解決されています。
(2)從病毒感染到復原間的證據必須要保全
在被植入勒索病毒的案例中,實際上付贖金以取得解密程式的案件並不多,美國FBI等搜查單位也宣導不要支付贖金。這是因為就算付了贖金也未必能獲得解密程式,再者,犯罪者在暗網間是互聯的,一旦得知有成功案例後,其他的犯罪者會再度植入病毒攻擊同一標的,結果根本無法解決問題。遇到此種狀況時,解決方法有兩個:
1)使用專業公司的解除碼;
2)在不連線網路的情況下將受病毒植入的電腦做清除的動作,再復原備份的資料。
上記②の場合における重要な対応につき、事例を一つ紹介します。ある会社のコンピューターがランサムウェアに感染しましたが、同コンピューターから隔離された場所に定期的にバックアップが保存されていたため、自社内のITチームにて感染したコンピューターを隔離した上でコンピューター内をクリーンアップしランサムウェアも駆除した上でバックアップを復元しました。一見、被害拡大防止、迅速な復旧がとられているように思われますが、実は重要な対応が抜けています。それは証拠の保全です。
採取上述第二種方法時有個重點要跟大家分享:某公司的電腦被植入了勒索病毒,但因有做定期備份且儲存於其他處所,因此該公司的資訊部先移除該電腦的網路連線後,將電腦系統連同勒索病毒重新清除整理,接著再將備份復原。乍看之下似乎是防止了受害程度擴大還有迅速地復原,但其實卻忽略了最重要的步驟--那就是「證據的保全」。
クリーンアップするということは、ランサムウェアに感染した事実やどの程度の情報が影響を受けたかの証拠も消し去ることになります。米国では、医療・健康情報の漏えいが発生した場合、郵送での情報漏えい事実の通知をする必要がありますが、もしシステム内に100万人分の個人情報が含まれていた場合、証拠保全が適切になされなければランサムウェアが個人情報を抜き取ったかどうかもわからず、仮に例えば5,000人分の個人情報しか抜き取られていなかったとしても、証拠がない以上は100万人に通知を出す必要が生じます。一人当たりの通知費用は高額ではないものの、人数が多ければ多いほどその金額は膨大なものとなります。従って、ランサムウェア事案においては、被害拡大防止をした上で、後日被害範囲を確認できるよう証拠保全をし、その後復旧をすることが重要です。
「清除」這個動作不單是將受病毒感染的事實消除,也將到底有多少資料受到影響的證據給抹滅了。在美國若是跟醫療及健康有關的個資發生外洩時,必須要用郵寄的方式一一通知當事人。若原本系統內有一百萬人的資料,先不論勒索病毒到底有沒有竊取資料,要是證據沒有適當地被保全,假設就算只有五千人的資料被竊,在無證據之下則必須要對一百萬人發出郵寄通知。雖然說通知單一個人的成本不是那麼高,但人數越多金額越龐大。也因此在面對勒索病毒的時候,除了要防止受害程度擴大外,更重要的是要先保全證據(以利日後確認受害範圍)再進行復原。
3. おわりに
以上、2つの典型事例における重要な対応につき紹介いたしましたが、これらはほんの一例であり、日々進化するサイバー関連の実際の事故においては、セキュリティ事故対応専門業者の早期関与が重要となります。万が一情報セキュリティ事故が発生した際には、ぜひ専門家または契約されているサイバー保険会社にご相談ください。
3.結語
以上我們藉由兩個典型案例介紹了很重要的處理方式,但其實這只是冰山一角。面對每天都在進化的網路/資安事件,我們認為很重要的是要盡早跟專家諮詢或合作。若真的不幸發生資安事故時,請務必通知資安專家或承保資安險的保險公司,以討論因應之道。
(本文轉載自東京海上日動火災保險公司 TOKIO CLAIMS JOURNAL No.41)
Tokio Marine Kiln ロンドン 柴野
原文作者:Tokio Marine Kiln 倫敦 柴野