いよいよ今日施行される EU 一般データ保護規則(GDPR)に関して、企業における認知や対策が進んでいない現状からいくつかのリスクが考えられる一方で、サイバー犯罪の観点で考えたときに外せないのが、「GDPR に関連したサイバー犯罪は起きるのか?」という疑問です。GDPR 施行に合わせて、遅れる認知や対応に起因したリスクと、施行に関連してどのようなサイバー犯罪が起きる可能性があるのかを考察してみます。
EEA 参加国の個人情報を取り扱っている企業においても、GDPR への対策はおろか認知・理解が進んでいない実態については先日解説した通りです。近年、国内でも個人情報保護法や割賦販売法の改正といった個人情報の取り扱いに関連した法規制の整備が進んでいますが、海外発の法規制で国内法人組織に影響を及ぼすものがあるということ自体想定していなかたったという方たちも少なくないかもしれません。結果的に、GDPR 自体の認知度の低さにも影響していると推測されます。
「様子見」から「話題となる制裁措置」事例で対応がはじめて本格化も
トレンドマイクロが実施した GDPR の認知度・理解度並びに対応状況に関する実態調査において一つ特徴的なのは、施行を目前に控えた 2 カ月前に実施した調査において 70.2% が「対応を検討中」、「ひとまず様子を見る」、「何もしない」と回答していることにあります。対応に当たって求められているポイントが具体性に欠け不明瞭なものがあることや、施行してからでないと本当にどれだけのインパクトがあるのか想像がつかないといったことで、ひとまずはしばらく様子をうかがうという選択肢をとる法人組織は多いのではないでしょうか。トレンドマイクロが昨年末に公開した「2018 年セキュリティ脅威予測」でも取り上げたように、有名な企業を筆頭に重大な制裁措置が下されるような具体的な事例が発生してはじめて、多くの企業で対応が本格化することが懸念されます。
何をしたらいいか分からないが故の「過剰な対応」
今回の調査で GDPR 対応に当たってどのような課題があるかを聞いたところ、93.1% が何らかの課題があると回答しており、この新しい規則がいかに国内法人組織を悩ませているかをうかがい知ることができます。その中で、具体的にどのような課題を持っているかを聞いたところ、「自社にどれだけの影響があるか分からない」、「技術的対策について何をどこまでやればいいのか分からない」、そして「組織的対策について何をどこまでやればいいのか分からない」が課題上位 3 位という結果になっており、「分からないことだらけ」の規則とも言えます。
欧州委員会からは、各項目に関して事例を交えた形で解説した GDPR に関する各種ガイドラインが公開されています。しかしながら、対応を余儀なくされる可能性のある法人組織側の観点に立った際に、依然として具体性に欠ける部分があるのも事実です。特に、データを保護するにあたって必要となるセキュリティ対策については、「State of the art(最先端の)」、「Data protection by design and by default(設計段階から標準で組み込まれたデータ保護)」といったキーワードは出てきているものの、具体的にどのような対策を行えばいいのか分からずに悩んでいる IT 担当者の方々は多いかもしれません。トレンドマイクロが欧米の意思決定者を対象に行った調査でも、「マーケットリーダーの製品でなければならない」、「第三者によるテストで認定を得ている」、「アナリストによる高い評価を得ている」、あるいは「ベンチャー企業が開発した革新的なものでなければならない」といったものが「最先端の」セキュリティ製品を指していると考える担当者がいることがわかっており、混乱が起きていることは言うまでもありません。標的型サイバー攻撃やランサムウェアが大きな問題になった際にも散見されたように、GDPR 対応に当たっても自組織にとって本当に必要な対策を吟味しないままに、優先度の高く無い対策や自組織で最大限運用することが難しいような対策に投資をしてしまうといった危険も考えられます。
「GDPR 準拠」を謳った偽セキュリティソフト
GDPR 対応に当たって技術的な対策をどう強化するべきかが分からない、「最先端の」セキュリティ対策が何かが分からない法人組織を狙って、「あなたの端末のセキュリティ対策が GDPR 準拠の最先端のセキュリティ製品がどうかをチェックします」と謳い、チェックした結果「準拠していないセキュリティ製品を使っているので、準拠したセキュリティ製品を導入する必要があります。ここから特別価格で入手できます」といって無機能、無能なプログラムを購入、インストールさせるといった詐欺もありえます。事実、何年も前には「あなたの端末でウイルスが見つかったので、削除したければ 50 ドル払ってこのセキュリティソフトを購入してください」といった、いわゆる偽セキュリティソフトが世界的にも国内でも横行したのは記憶に新しいところです。特に、セキュリティ対策に詳しくないであろう中小企業を狙って、このような攻撃が再登場することもありえるでしょう。
GDPR によるプライバシーポリシー変更を装ったフィッシング詐欺
この数ヶ月の間に「5 月 25 日からの法規制の変更に伴い、個人情報の継続利用に同意してください」といったメールを海外の企業やサービスから受信した方々も少なくないのではないでしょうか。EEA 参加国に在住履歴があることが一部関係しているか否かは定かではないものの、筆者も同様のメールをこれまで海外の企業やサービスから相当数受信しています。中には、身に覚えのない組織からのものも確認されており、似たような経験から「自分の個人情報が一体どこでどのように取り扱われているのか」疑問に感じている方々も少なくないでしょう。
正規の企業やサービスは、「オプトイン」方式という必要性に駆られてこのようなメールをデータベースに登録されたアドレスに配信していると考えられますが、このようなメール配信が一般的になることで、その動きにサイバー犯罪者が便乗する恐れもあります。Apple やマイクロソフトといった普及しているサービスの利用者を狙ったフィッシング詐欺が国内でも継続して行われていますが、このようなフィッシング詐欺は「不審なログイン」や「アカウント情報が間違っている」といった謳い文句で利用者を騙そうとします。すでに一部では確認されているという情報もありますが、今後は「GDPR 施行に伴うプライバシーポリシー変更」を謳い文句に、利用者を騙してフィッシングサイトに誘導し、ID やパスワードをはじめとした個人情報を入力させるといった活動がサイバー犯罪者によって行われることも予測されます。しかし、ここで重要なのは、謳い文句が違ってもフィッシング詐欺に変わりはないので、インターネット利用者は決して慌てる必要はないということです。
「GDPR 違反」と謳ったネット恐喝
世界的にも国内においてもランサムウェアが法人・個人問わずいたるところで被害をもたらし続けてきていますが、近年問題になっているタイプのランサムウェアはいわゆる「暗号化型」と呼ばれるもので、データを暗号化したうえで「元に戻してほしければ身代金を払え」という形で脅しをかけるものです。ランサムウェアが世界的に猛威を振るい始める前には、「ポリスランサムウェア」と呼ばれるランサムウェアが多数登場していました。
このポリスランサムウェアは、暗号化型のものとは異なり「端末ロック型」といわれるもので、端末の画面上に警察機関をはじめとした法執行機関のロゴを表示したうえで、「端末上で違法な行為を確認したので画面をロックする。ロックを解除したければ金を払え。」といった形で脅しをかけるものです。
GDPR 施行に伴って、「GDPR の高額な制裁金を払いたくなければ身代金を払え」といった形で「法律に抵触している」という謳い文句が GDPR に便乗したランサムウェアや、「GDPR に違反しているので制裁金を払いなさい」といった形で脅してくるその他のネット恐喝に転用される可能性も考えられます。
偽のGDPR診断サイト
組織的にも技術的にも様々な対応を必要とする GDPR のような規則は、予算や人材、知見といった観点でリソースのない中小企業にとっては非常に悩ましい問題です。対応に当たって必要な知見も限られる一方で、コンサルティング会社に相談する予算もない中小企業を狙って、「GDPR の対応度合いを簡単に診断できる」と謳った偽サイトも可能性として考えられます。簡単にチェックできると偽って、個人情報を含めた様々な情報入力を求めたり、さらには追加の診断料や解決策を名目に金銭をだまし取る詐欺サイトのようなものも出てくるかもしれません。ここで騙し取った情報を利用して、さらに次なる詐欺行為が行われる危険もあります。
GDPR に便乗したビジネスメール詐欺
これまでトレンドマイクロが度々注意喚起をしてきている通り、近年取引先や経営幹部になりすまして高額の金銭や特定の情報をだまし取るビジネスメール詐欺が世界的にも流行し、その波は国内にも入り込んできています。GDPR 対応を進めるにあたって、例えば GDPR に精通したヨーロッパのコンサルティング会社からコンサルティングを受けたり、GDPR で求められている代理人の設置といった対応を進める中でそこにサイバー犯罪者が入り込み、コンサルティング会社の担当者や代理人になりすまして最終的に高額の金銭を奪い取るという攻撃は、もしかするとほかの可能性と比較してもより一層現実的であるかもしれません。
それ以外にも様々な便乗型、悪用型のサイバー犯罪が出てくることが考えられますが、サイバーの枠を超えた詐欺行為も十分予想されるため、対応をする側に冷静な判断と対応が求められます。
GDPR 施行後、どうする?
GDPR が施行される今日、もう間に合わないと慌てている法人組織も少なくないかもしれません。具体的に何から始めたらいいのか分からないといった声が聞かれるのも事実です。トレンドマイクロの調査では、対応に当たっての具体的な課題として、前述の 3 つの「分からない」に次いで最も回答者が多かったものが、「当該個人情報を取り扱っている拠点、部署が全体的に可視化できていない」というものでした。対応を進めるにあたっては、まずは自組織の各拠点、各部署において、どのような個人情報がどのような目的で取り扱われているのか、それがどのように取得、管理、廃棄されているのかといった全体像を把握することから始めることをお勧めします。そのうえで、自組織においてポリシー、プロセス、システム、体制といった観点で整備できていない部分、取り扱う個人情報の安全性を確保するために必要な組織的そして技術的なセキュリティ対策の導入、これらをロードマップを立てた上で一つ一つ対応していくことを推奨します。
GDPR に便乗したサイバー犯罪に対しては、これまで行っているランサムウェア対策やフィッシング詐欺への対策に加えて、特別何か新しい対策をする必要はありません。ただ一般的な詐欺と同様に、手を替え品を替え新しい手口が出てくるのがサイバー犯罪である以上、いまどのようなサイバー犯罪が行われているのか少しでも敏感になることが重要です。
また、繰り返しになりますが、国内でも動きがあるように、個人情報の安全性やプライバシーの保護に関する法規制の整備が、今回の GDPR のように世界的に進んでいることから、「知らなかった」では済まない環境になってきています。今後は、国内・海外問わず、個人情報の安全性やプライバシー保護に関する動向に、より一層敏感になることが法人・個人問わず求められるといえるでしょう。
トレンドマイクロでは、GDPR に関する情報を当社サイト内特設ページで発信しております。各法人組織における GDPR 対応を進めるにあたって、お役立ていただければ幸いです。