改正個人情報保護法施行、もしEMOTETに感染したら行うべきことは?
マルウェア「EMOTET(エモテット)」が再流行(2022年4月時点)する中、EMOTETを例に改正個人情報保護法の視点を含め、万が一EMOTETに感染した場合、法人組織が考慮すべきポイントや対策を解説します。
【本記事はEMOTETの感染拡大をうけ2022年7月29日に一部情報を更新しました】
2022年4月1日に施行された改正個人情報保護法に伴い、個人情報の漏洩が発生、または発生した可能性がある場合、個人情報保護委員会への報告や本人への通知が義務化されました。
報告・通知する必要がある条件※1はいくつかありますがサイバー攻撃による漏洩など
「不正な目的をもって行われたおそれがある漏洩」の場合は必ず報告・通知する必要があります。
※1 「要配慮個人情報(人種、信条、社会的身分、病歴、犯罪の経歴など)の漏洩」「経済的な損失を伴うこととなるおそれのあるような情報の漏洩」「不正な目的をもって行われたおそれがある漏洩」「1,000人を超える漏洩」などが起こった場合、個人情報保護委員会への報告や本人への通知が義務化
2021年1月下旬、ユーロポールを中心とした各国の法執行機関の連携によりEMOTETを構成するボットネットがテイクダウンされたことが公表され、EMOTETの活動は見られなくなっていました。しかし、その後2021年11月に活動を再開し、2022年に入ってから爆発的に感染が拡大しています(図2)。
<2022年7月29日 更新>
本記事を執筆した後、トレンドマイクロではEMOTETの日本国内での感染拡大を受け本記事の一部を更新いたしました。今年3月にEMOTETの国内検出台数が40,283台に達し、急増したのが分かります。4月以降も2021年と比較すると検出台数が継続して多いことが見て取れます。
また、EMOTETの拡散手法においても、以前は不正なマクロを含んだOffice文書ファイルを添付したマルウェアスパムによるものが主なものでしたが、2022年4月より、Windowsの不正ショートカット(.lnk)ファイルを悪用する新たな手口も確認しました(図3)。Office文書ファイルでは、マクロを有効化しないことが1つの対策ですが、Windowsの不正ショートカット(.lnk)ファイルでは、該当のファイルを開くとEMOTETに感染します。「不正マクロを含むOffice文書ファイル」、「不正ショートカット(.link)」どちらの場合も、侵入経路となるメールとその添付ファイルについて正当性が確認できないものは安易に開かないようにする心がけが重要です。
<2022年7月29日 更新内容は以上となります>
事前にマルウェアの感染を防ぐための対策を講じることは重要ですが、万が一EMOTETに感染してしまった際、法人組織はどうすればよいのでしょうか?いくつかの視点で見ていく必要があります。
個人情報漏洩の可能性EMOTETは、感染した端末内に保存されているメールアドレスや送受信されたメール本文、Webブラウザに保存されているパスワードなどを窃取することに加えて、ランサムウェアなど他のマルウェアを感染させる可能性があります。感染した端末内に保存されているメールアドレスやメール本文が窃取された場合、これらの情報内にお客様や取引先、自組織の従業員の氏名や連絡先が含まれていることが想定されるため、直接的に情報漏洩が発生したと言えるでしょう。
Webブラウザに保存されているパスワードを窃取された場合、それだけで個人情報が漏洩したと断定することはできませんが、顧客管理などで利用しているサービスへのログイン情報を窃取された場合、該当のサービスに不正アクセスされ、個人情報の漏洩に繋がる懸念があります。また、ランサムウェアに感染した場合、昨今のランサムウェアは端末内のデータを暗号化するだけではなく、情報を窃取し「情報を暴露されたくなければ身代金を払え」といった二重脅迫を行うこともあります。
このようにEMOTETに感染してしまった場合、様々な視点で個人情報の漏洩を疑う必要がでてきます。
個人情報漏洩時の報告、通知義務個人情報が漏洩した場合、個人情報保護委員会への報告や、本人へ通知することが義務化されています。報告義務は、速報(その時点で把握している事項)と確報(報告が求められる事項を全て報告する)にわかれており、速報は事態を把握した時から5日以内、確報は事態を把握した時から30日以内(不正な目的によるおそれがある個人情報漏洩の場合は60日以内)に報告、通知する必要があります。
報告、通知すべき内容は「漏洩が発生した、もしくは発生した可能性がある個人情報の項目(氏名、電話番号、メールアドレスなど)」「漏洩した人数」「原因」「二次被害が発生するおそれ及びその内容」などです。EMOTETなど、外部からのサイバー攻撃による情報漏洩の場合、見つかりにくいように情報を窃取しているため、これらの調査をする際に時間がかかることが想定されます。そのため、ネットワークのトラフィック全体を可視化することに加えて、PCやサーバなどでどのような挙動が起こったのかセンサーで詳細なログをとっておき、攻撃の追跡や原因の追究ができる対策をあらかじめ講じておくことが求められます。
二次被害を防ぐために
EMOTETがここまで爆発的に拡散されている大きな要因は「感染したPCから窃取したメールの宛先にマルウェアを拡散」すること、「拡散時に以前やり取りしたメールの内容を引用していること」さらに「感染したユーザのメールアドレスからマルウェアが添付されたメールが送付されること」と言えます。
図4はEMOTETを感染させるマルウェアスパムメール(返信型)の例です。
以前やりとりした実際のメールの内容が記載されています。さらに、メールの送信元も以前やり取りがある会社からのメールだったら、多くの方が添付ファイルをクリックしてしまうのではないでしょうか。
そのため、EMOTETでは二次被害、三次被害(感染したA社とやりとりがあるB社やC社にマルウェアが添付されたメールが送付、さらにB社からD社に)が懸念されるため、自社がEMOTETに感染し、不正なメールを送信していることがわかれば、その旨をお客様や取引先に注意喚起することも必要です。
まとめ
情報漏洩の原因は、外部からのサイバー攻撃、内部犯、設定ミス、操作ミスなど様々存在しますが、何れの場合でも、自社で個人情報の漏洩が起こることを前提として、個人情報が漏洩しないための対策、万が一個人情報が漏洩してしまった際にその原因などを追跡するための対策の両面が求められます。
EMOTETを切り口に対策を考えると、事前の対策として、マルウェアを検知するセキュリティソフトの利用やDLP(Data Loss Prevention)製品により、そもそも個人情報を外部に送信することをブロックする仕組みなどは勿論、万が一侵入されてしまった場合に、不特定多数にメールを送付する等通常とは異なる不審な挙動を迅速に把握する仕組みの実装も重要です。
技術だけではなく、こういったサイバー攻撃が存在することを従業員に周知する教育の実施もおすすめします。
【本記事はEMOTETの感染拡大をうけ2022年7月29日に一部情報を更新しました】
Security GO新着記事
RansomHubとは?~2024年に登場した新興ランサムウェア攻撃者グループ
(2024年12月26日)
ランサムウェア攻撃者グループ「LockBit」の摘発の影響と今後
(2024年12月25日)