サービスとしてのランサムウエア-「サイバー攻撃、実行容易に」の記事

「サイバー攻撃、実行容易に」の記事が出ています(21021年5月18日 日経新聞)。

サイバー攻撃用のソフトウエアをサブスクリプション(定額課金)などで簡易に提供する闇ビジネスが広がり始めた。

として、ランサムウエア・アズ・ア・サービスを紹介しています。また、

各国政府は国家やテロ組織の関与を念頭に封じ込めを急いでいる。

として、

  • 米財務省の外国資産管理局(OFAC)は複数のランサムウエアグループを挙げ、これら組織への身代金支払いは「規制に違反するリスクがある」として制裁対象になりうるとの勧告を出したこと
  • ウーバーテクノロジーズの元最高セキュリティー責任者(CSO)を、不正アクセスの犯人側に金銭を支払い情報漏洩の隠蔽を依頼したとして司法妨害の罪で訴追したこと

が紹介されています。

TMI総合法律事務所の大井哲也弁護士のコメント付きです。

身代金支払いの法的な問題については、「パイプライン攻撃事件の法的論点 (支払うべきか、支払わざるべきか、それが問題だ) -Colonial Pipeline事件」でふれた所です。

ウーバーの案件についての記事は、こちらです。くわしいのは、こちら。

事案としては

米国司法省は、UberのCSOであったサリバンが、サリバンの在任以前の2014年の侵害を巡ってライドシェア企業を調査していた連邦取引委員会(FTC)の調査官に対し、進行中のセキュリティインシデントに関する情報を隠していたと刑事訴状で主張しています。

サリバンが2014年の侵害についてFTCに宣誓証言を行った10日後の2016年11月、攻撃者がUberに連絡を取り、セキュリティが不十分なS3バケットからUberのドライバーと乗客の記録5700万件を盗み出し、10万米ドルを要求しました。サリバンの指示のもと、Uberはバグバウンティプログラムを利用して攻撃者に報酬を支払い、NDAに署名してUberのデータを盗んだことはないと宣言するよう要求しました。司法省は、サリバンがこれが虚偽であることを知っていたと主張しています。

ということだそうです。脆弱性発見報奨制度(バグバウンティ)プログラムを利用しているようにみせかけて報酬を支払ったという事件ですね。

分析の記事とかもでています。“What In-House Counsel Can Learn from Criminal Prosecution of Uber’s Former Chief Security Officer” です。興味深い事件です。

関連記事

  1. CyCon 2019 travel memo day1 (1)
  2. フランス国防省のサイバースペースにおける作戦への国際法適用への見…
  3. 国際法に関する先制的自衛の法的論文から解釈論をみる
  4. CyConX travel report Day One Boo…
  5. サイバーセキュリティ対策推進議員連盟の緊急提言
  6. 証券監視委「デジタル鑑識」へ新設部署
  7. 経済安保のマトリョーシカ-政策・特定重要物資・特定重要技術をめぐ…
  8. TTX(テーブル・トップ・エクササイズ)のすすめ
PAGE TOP