被害を拡大させた復旧作業の未熟さ
ランサムウェアの復号化ツールは、ウェブ検索すればたくさん見つけることができるが、Qilinに対応した復号化ツールは今日現在見つかっていない。警察庁のサイバー警察局でもランサムウェアの復号化ツールの開発は行っているが、Qilinのランサムウェアの復号化は難しいというのが現状だ。
したがって、ランサムウェアに感染した場合は、バックアップデータからの復元が最も現実的な復旧方法といえる。この場合も単にバックアップデータを取っているからと安心するのではなく、バックアップデータも暗号化されてしまう恐れはないか、本当にそのバックアップデータでシステムが復旧するのか、手順も含め確認しておくことが重要だ。アサヒグループホールディングスが1カ月以上も正常に復旧しないのは、この手順確認を疎かにしていたのではないだろうか。
アサヒグループホールディングスでは、自然災害などを前提とした事業継続計画は立てていたようだが、今回のような事態は想定外だったようだ。サスタナビリティ報告書にある「取締役に求められるスキルマップ」を見てもITに関する知見は含まれていない。デジタルトランスフォーメーション(DX)が叫ばれる中、取締役にはITに関する知見は不可欠だ。
情報漏えいで明らかになったコンプライアンスの不備
Qilinが公開している一部のデータからもアサヒグループホールディングスの内情が見て取れる事象がある。従業員と思われる女性のマイナンバーカードの画像データが含まれている点だ。
マイナンバーカード情報は企業にとって社会保険の手続きや源泉徴収票を作成する際に不可欠なものだが、マイナンバーカードの画像情報は、保管してはならないとされている。「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律(通称マイナンバー法)」の「第19条 特定個人情報の提供の制限」には、「特定個人情報(マイナンバーを含む個人情報)は、法令で定める場合を除き、第三者に提供してはならない」とあり、マイナンバーカードをコピーやスキャンして、画像として保管することは、特定個人情報を不必要に取得・保存する行為と見なされ、第19条に違反する行為だ。
第19条を受けて、個人情報保護委員会のガイドラインでは、第3-2(2)「本人確認の際の留意事項」として「マイナンバーの確認のために個人番号カードを提示させることはできるが、カードの写しを保存してはならない」としている。これに反した場合は、不正に特定個人情報を取得・提供した場合に該当し、懲役4年以下または罰金200万円以下に処されることがある。
コンプライアンスが徹底されていないことを示す一つの事例といえるだろう。
