サービスとしてのランサムウエア-「サイバー攻撃、実行容易に」の記事

「サイバー攻撃、実行容易に」の記事が出ています(21021年5月18日 日経新聞)。

サイバー攻撃用のソフトウエアをサブスクリプション(定額課金)などで簡易に提供する闇ビジネスが広がり始めた。

として、ランサムウエア・アズ・ア・サービスを紹介しています。また、

各国政府は国家やテロ組織の関与を念頭に封じ込めを急いでいる。

として、

  • 米財務省の外国資産管理局(OFAC)は複数のランサムウエアグループを挙げ、これら組織への身代金支払いは「規制に違反するリスクがある」として制裁対象になりうるとの勧告を出したこと
  • ウーバーテクノロジーズの元最高セキュリティー責任者(CSO)を、不正アクセスの犯人側に金銭を支払い情報漏洩の隠蔽を依頼したとして司法妨害の罪で訴追したこと

が紹介されています。

TMI総合法律事務所の大井哲也弁護士のコメント付きです。

身代金支払いの法的な問題については、「パイプライン攻撃事件の法的論点 (支払うべきか、支払わざるべきか、それが問題だ) -Colonial Pipeline事件」でふれた所です。

ウーバーの案件についての記事は、こちらです。くわしいのは、こちら。

事案としては

米国司法省は、UberのCSOであったサリバンが、サリバンの在任以前の2014年の侵害を巡ってライドシェア企業を調査していた連邦取引委員会(FTC)の調査官に対し、進行中のセキュリティインシデントに関する情報を隠していたと刑事訴状で主張しています。

サリバンが2014年の侵害についてFTCに宣誓証言を行った10日後の2016年11月、攻撃者がUberに連絡を取り、セキュリティが不十分なS3バケットからUberのドライバーと乗客の記録5700万件を盗み出し、10万米ドルを要求しました。サリバンの指示のもと、Uberはバグバウンティプログラムを利用して攻撃者に報酬を支払い、NDAに署名してUberのデータを盗んだことはないと宣言するよう要求しました。司法省は、サリバンがこれが虚偽であることを知っていたと主張しています。

ということだそうです。脆弱性発見報奨制度(バグバウンティ)プログラムを利用しているようにみせかけて報酬を支払ったという事件ですね。

分析の記事とかもでています。“What In-House Counsel Can Learn from Criminal Prosecution of Uber’s Former Chief Security Officer” です。興味深い事件です。

関連記事

  1. (国際的な)「サイバーテロ」の用語について
  2. Cycon 2019 travel memo day 2 (2)…
  3. Cycon 2019 travel memo day3 fina…
  4. 英国のサイバー軍 公式に登場
  5. 宇宙ドメインと国際法-McGillマニュアル(ルール編)翻訳
  6. 米ロ電話会談におけるサイバーセキュリティの話題(主権、相当な注意…
  7. 民間衛星の攻撃対象性・攻撃の条件・民間による正当防衛の可否(武力…
  8. 通信の秘密の数奇な運命(国際的な側面)と「国力としての防衛力を総…
PAGE TOP