増え続けるサイバー攻撃
被害対応支援の厳しい楽屋裏

「大事なデータが勝手に暗号化され、使えなくなった。元に戻したければ金を払えと言われている」

IHCCにはサイバー攻撃を受けた企業や団体の担当者から毎日のように緊急の電話が入る。業種業界、企業や組織の規模は様々だ。

サイバー攻撃の危険はかねてより指摘されてきたものの減らない。IHCCに所属する三宅諒介によると、2022年は「Emotet（エモテット）」と呼ばれるウイルスが猛威を振るい、それに関する相談が多く寄せられた。最近ではランサムウエアと呼ばれる身代金要求型攻撃の被害相談が多く寄せられており、サイバー攻撃にもトレンドがあることを、身をもって痛感している。「大きなインシデントが発生した後、被害企業の同業からの問い合わせが急増する」と三宅は語る。

東京海上ディーアール サイバーセキュリティ事業部 主任研究員 三宅諒介 氏

しかも、攻撃の手口はより悪質になっている。「コンピューターウイルス攻撃から守るという触れ込みのサービスに社員が申し込んだが偽物だった。個人情報が漏れたのではないか」。こんな相談もある。

不審な電子メールの添付ファイルを開かない。素性の分からないサイトからソフトをダウンロードしない。今やサイバーセキュリティの常識だが、引っかかってしまう企業や団体が後を絶たない。「痛い目に遭わないと分からない」ということだろう。だが三宅は「報道や発表で伝えられる攻撃の手口を知るなど、社員のリテラシーを向上させるだけで防げる被害は相当数ある」と言う。そこでプロジェクトメンバーとして関わっている企業向けセキュリティ教育事業の立ち上げを急いでいる。

とはいえ、現状は社内の構えができていない企業が少なくない。得てして「うちは大丈夫」と安心している企業や団体ほど、攻撃を受けた時の社内の混乱が大きくなりがちである。IHCCの早川彩希は「早朝に電話を頂いた後、社内の混乱収拾に追われた担当者の方と夕方まで連絡がつかないということも何度かありました」と、そのときの状況について語る。

電話応対に頭を徹底的に使う

IHCCで電話を受けたとき、状況の整理ができていないまま連絡してくる相手も少なくない。こうしたとき三宅は「ネットワーク環境についても説明いただけますか」といったように、冷静に相手の状況を聞き出すところから対話を始める。「攻撃の影響が及ぶ範囲を迅速に特定し、さらなる攻撃を食い止める必要がある」からだ。

状況を把握すると、やるべきことを順に説明する。対応策はインシデントごとに様々だ。必要があれば専門的な技術やノウハウを持つIHCCのパートナーを紹介する。数十社に及ぶパートナーとの連携によって、サイバー攻撃に詳しい弁護士の紹介から、お詫びのために配る金券の手配まで幅広い相談に乗ることができる。

「御社で契約まわりを担当されるのはどなたでしょう」。電話を受けたときに、早川はこう尋ねるときがある。早川は、インシデント対応にまつわるコスト管理のプロだ。サイバー攻撃を受けたとき、その対応に想定を超える高額の費用が発生することが少なくない。そこで早川は、被害を受けた企業が加入しているサイバー保険も活用しながら、インシデント対応に起用する企業と適切なコストで契約が結べるように支援する。この手配は、早期復旧を図るうえで重要だと早川は訴える。迅速かつ適切な対応を進めるための大前提だといっても過言ではないと言う。

東京海上ディーアール サイバーセキュリティ事業部 主任研究員 早川彩希 氏

「なぜだ！」という顧客と対峙

もっとも、いつも粛々と支援が進むとは限らない。

「被害を受けたのに、なぜ謝罪をしないといけないのか」「こんなときに報告までしろと言うのか」

時にはこういう抗議に直面する。「個人情報が漏れていた場合、顧客へのお詫びや個人情報保護委員会への報告が必要になります」と今後の段取り説明したところ、それを相手がすぐに納得できない。だが、サイバー攻撃を受けて顧客の個人情報を流出させたのが委託先で、自社に落ち度はなかったとしても、顧客へ連絡し、お詫びをしなければならない。個人情報保護法が改正され、2022年4月から顧客などの「権利利益を害するおそれがあるとき」、個人情報保護委員会への報告も義務付けられている。

サイバー攻撃を受けた企業の担当者が厳しい口調で電話をかけてくることもある。「なぜ保険金が下りないのか」。自動車保険と同様に基本的に保険金の支払いには証跡が必要だが、自社が攻撃を受けたことを客観的に示す証跡を取得できていない事案が多いのも実情だ。サイバー攻撃の場合、コンピューターの動きを示すログデータを取っておく必要がある。

「その件は私の担当ではありません」「トラブルを起こした部署に聞いてください」。サイバー攻撃を受けて動揺するあまり、相手が責任回避に終始し、今後の対応についての説明が進まないこともある。

緊急時に生きるタフなメンタル

こうした状況に対応するIHCCのメンバーは、専門的な知識に加えて、状況に応じて柔軟に物事を調整し、対策の段取りを進める力が求められる。2018年に社会人になった三宅と早川は、それぞれ製造業や証券会社で営業職に数年、従事しており、そのときの経験が役立っている。「飛び込み営業で鍛えられたメンタルは大きな強み」と早川は言う。

専門的なスキルの強化も2人は怠らない。IHCCのメンバーは全員、サイバーセキュリティの国際資格CISSP（Certified Information Systems Security Professional）の取得が義務付けられている。CISSPで問われる8分野のうち、2分野で5年以上の業務経験があることが受験の条件であるため、2021年7月からIHCCに入った三宅と早川は経験を積んでいる段階だ。

三宅は上司から「博士号を取れ。サイバーセキュリティの国際会議に出たとき、ドクターでなければ話を聞いてもらえない」とハッパをかけられている。大学ではサイバーセキュリティと国際政治について研究・指導する教員の研究室にいた三宅だが、すでにサイバーセキュリティの分野での博士号取得に向けて動き始めている。

IHCCの仕事はいつも気が抜けないが、早川は「社会課題の解決に貢献できる仕事に巡り合って、いま大きなやりがいを感じている」と語る。三宅は「長時間話しているうちに、ふっと仲良くなるというか、分かり合えるような時が来る。それがうれしい」と笑顔を見せた。