フェーズ1: 端末のランサムウェア感染
初期対応の判断とステータスレポートの作成
インシデント詳細報告書:WFHで利用するPCのランサムウエア感染
0. 概要
- 概要:
- WFHで利用する社員AのPCがランサムウエアに感染した
- 社員Aには代替えのPCを支給し、感染したPCは回収している
- 当該PCは、マルウエア対策などのポリシーを守っていた
- イントラネットへのVPN接続はないが、オンラインのストレージサービスと同期しているフォルダがある
- PCの解析結果が出たところで改めて報告をするが、現段階では大きな問題はナイト判断している。
1. GanGanシステム概要
- 担当責任者: CISRT 平山、矢野CISO
- 事業内容: 年間売上:約34億円 顧客基盤:顧客数: 10万人以上
2. 事件の概要
- 検知日時: 7/23 12:17
-
事象: WFHで使用するPCのランサムウエア感染 攻撃者の要求: 身代金: $600(約9万円) 支払期限: 7日以内
-
現在の事業状況: 影響なし 当該PCを回収し調査とクリーンナップを行う予定 社員Aには代替えのPCを送付済み
3. 情報資産への影響評価
- クレジットカード情報など: Serious / unlikely
- 備考:
- 顧客秘密情報(プライベートチャット等): Serious / unlikely
- 備考:
- 自社の機密情報: Light / unlikely
- 備考:
- 公表済みの情報: Light / medium
- 備考:
- 認証情報: Serious / medium
- 備考:
- 特定困難情報(端末・メール等): Serious / medium
- 備考:
- その他: —
- 備考:
4. 被害予測とリスク分析
顧客・取引先の被害
- 機密情報漏洩・流出: Light / unlikely
- 備考:
- 業務停止: Moderate / unlikely
- 備考:
- 金銭: Light / occur
- 備考:
- 詐欺: Light / unlikely
- 備考:
- 脅迫: Light / unlikely
- 備考:
- その他: —
- 備考:
自社の被害
- 業務停止: Critical / unlikely
- 備考:
- 脅迫行為(身代金含む): Light / occur
- 備考:
- 金銭的な被害: Light / occur
- 備考:
- 信用の失墜: Light / unlikely
- 備考:
- 機密情報漏洩・流出: Moderate / unlikely
- 備考:
- 社会的責任: Light / unlikely
- 備考:
- 詐欺行為: —
- 備考:
想定される二次被害
- 想定二次被害: N/A
5. 対応体制(RACIチャート)
- 経営者: Informed
- 事業担当執行役員: Informed
- 広報: NA
- 情シス: Responsible, Accountable
- CSIRT: Responsible, Accountable
- CISO: Accountable
- 法務・知財: NA
- 人事: NA
- 社員全般: NA
6. 外部への対応
A:即時 / B:事実把握後 / C:確定後 / D:不要 / E:保留
- 外部専門家への依頼:
- 社外弁護士: 不要
- SIベンダー: 不要
- セキュリティ: 不要
- 保険会社: 不要
- 公認会計士: 不要
- 労務局: 不要
- 安保貿易センター: 不要
7. 外部連絡・報告計画
A:即時 / B:事実把握後 / C:確定後 / D:不要 / E:保留
必須連絡先
- 個人情報保護委員会: 不要
- 監督官庁(総務省/経産省): 不要
- 警察: 不要
- GDPR / CCPA: 不要
取引先・利用者
- 広告出稿主(A社): 不要
- あけぼの銀行: 不要
- 利用者(被害者): 不要
メディア・広報(担当:小屋EO)
- 自社HP / 自社SNS: 不要
- メディア一般: 不要
8. 財務的損害と費用予測
-
直接的損害: 身代金: 約9万円 機会損失: 具体的な影響はない
-
費用損害(予測): 事故原因調査: CSIRTで対応 事故対応費用: CSIRTで対応 広告・宣伝:N/A コールセンター設置:N/A 見舞金:N/A 損害賠償:N/A 弁護士費用:N/A
9. コンプライアンス・社会的影響
- 法的懸念: 特段の懸念はない
- 社会的議論: 特段の懸念はないが、身代金を支払った場合注目される可能性がある
- 無形損害: 特段の懸念はない
10. 利用者向け対策(ワークアラウンド)
- 被害確認方法: 特段の懸念はない
- 推奨アクション: 特段のアクションはない
2.0 GanGan事業部 本部長(執行役員) 佐々木
2.1 レポートへの評価
まず、このレポートを見て率直に言うと、「対応が早くて良かった」という印象だ。社員Aが12:17に感染して12:30にCSIRTに連絡、そして俺たちへの報告も迅速だ。事業への影響がないというのが何より重要だ。
ただ、いくつか気になる点がある。このレポートを読んでいると、どうも楽観的すぎるんじゃないかという感じがする。VPN接続がないから安全だと言っているが、オンラインストレージと同期しているフォルダがあるという部分が引っ掛かる。クラウドストレージを通じてデータが流出する可能性はないのか?そこらへんの説明が不足している気がする。
財務的には身代金9万円という数字が出ているが、これは支払うのか支払わないのか、はっきりしていない。年商34億円の企業として、9万円は大した額ではないが、身代金を支払うことの社会的インパクトについて、もう少し慎重に考えるべきではないか。
あと、個人情報保護法への対応が「不要」とされているが、本当に大丈夫なのか。ゲームプレイヤーの個人情報は扱っていないのか?それなら問題ないが、その確認がレポートに書かれていない。
RACIチャートを見ると、法務・知財が「-」になっているが、身代金支払いや法的リスクについて、法務部門の見解は取っていないのか?これは抜けているんじゃないか。
2.2 自身が管轄する部門への指示
システム運用部の青島部長へ指示する。
確認事項として: 社員Aのオンラインストレージ同期フォルダに、どのような情報が保存されていたのかを確認しろ。クラウドストレージ側のログも確認して、ランサムウェア感染後、ファイルが暗号化されたり、流出した可能性がないか調べろ。
被害を防止・最小化するための指示として: 感染したPCは徹底的に調査しろ。ランサムウェアの種類、感染経路、そして侵入者が他のシステムにアクセスしていないかを確認することだ。代替えPCを支給したのは良いが、その代替えPCが安全であることを確認してから社員Aに渡すように。また、オンラインストレージの同期設定を一度見直せ。WFHでのセキュリティポリシーが本当に機能しているのか、疑問の余地がある。
報告の指示として: PCの解析結果が出たら、すぐに報告しろ。特に、流出した可能性のあるデータの種類と量、そして他のシステムへの侵入の有無については、優先度高で報告すること。
2.3 CISOへの依頼
城戸CISO、以下の点について依頼したい。
まず、このランサムウェア感染が本当に「大きな問題ではない」のか、もう一度きちんと判断してくれ。特にクラウドストレージ経由でのデータ流出リスク、そして他のシステムへの横展開がないかの確認を徹底してほしい。
次に、身代金を支払うべきかどうかについて、専門家の意見を聞いた上で、経営判断に必要な情報をまとめてくれ。9万円という額は小さいが、身代金を支払うことの法的・社会的リスクについて、きちんとした分析が必要だ。
最後に、WFHでのセキュリティポリシーが本当に機能しているのか、全社的な見直しを検討してくれ。今回は幸い事業への影響がなかったが、次はそうとは限らない。セキュリティ対策の投資について、経営層への説明資料を作成してほしい。
2.0 セキュリティ・リスクコンサルタント 氷室
2.1 レポートへの評価
NIST SP 800-61 Rev. 2、ISO/IEC 27035、NIST Cybersecurity Frameworkに基づいて、このレポートを評価します。
事実関係との整合性: 報告書の事実関係は、提供された状況説明と概ね一致しています。検知日時、事象、現在の事業状況についての記述は正確です。ただし、以下の重要な情報が欠落しています: - PCに保存されていたファイルの詳細(特に機密情報や顧客情報の有無) - オンラインストレージ同期後、クラウド側でのファイル状態 - ランサムウェアの種類と感染経路 - 他のシステムへのアクセス可能性
楽観主義的評価の問題: このレポートは明らかに楽観的すぎます。以下の点が問題です:
-
VPN接続がないからリスクが低いという誤解:VPN接続がないことは、むしろ問題です。社員Aが在宅で業務を行い、オンラインストレージと同期しているということは、クラウド側に重要なデータが保存されている可能性があります。ランサムウェアに感染したPCから同期されたファイルが、クラウド側でも暗号化される可能性があります。これは重大なリスクです。
-
「大きな問題はない」という結論の根拠不明:この結論に至るまでの分析プロセスが記載されていません。ISO/IEC 27035で求められるインシデント評価プロセスが実施されたのか不明です。
-
情報資産への影響評価の曖昧性:リスク評価表では、クレジットカード情報、顧客秘密情報、認証情報などが「S(Sensitive)」と評価されていますが、社員Aのオンラインストレージに実際にこれらの情報が保存されていたのか、いなかったのか、その確認が明記されていません。リスク評価は、実際の情報保有状況に基づくべきです。
財務的損害予測の不十分性: COSO ERMフレームワークの観点から見ると、財務的損害の予測が不十分です:
- 直接的損害:身代金9万円のみ記載。しかし、支払うのか支払わないのか、決定されていない。
- 対応費用:「CSIRTで対応」と記載されているが、具体的な人件費が計算されていない。PCの再構築、データの確認、他システムへのアクセス確認など、CSIRTの工数を推定すべき。
- 機会損失:「具体的な影響はない」と記載されているが、本当か?社員Aの生産性喪失(代替えPC支給までの時間)、CSIRTの他業務への影響など、考慮すべき項目がある。
- 二次被害シナリオ:「N/A」と記載されているが、以下のシナリオを検討すべき:
- データ流出した場合の調査・対応費用(年金機構の事例では数億円規模)
- 顧客への通知費用(個人情報保護法に基づく通知が必要な場合)
- 信用毀損による売上減少リスク
- 身代金支払いに伴う社会的批判
コンプライアンス評価の不十分性: 「特段の懸念はない」という記載は、専門的な法的検討が行われていないことを示唆しています。以下の点を検討すべきです:
- 個人情報保護法への対応:
- ゲームプレイヤーの個人情報(メールアドレス、プレイ履歴、決済情報など)がオンラインストレージに保存されていないか確認が必要
- 仮にそうした情報が含まれていて、流出した場合、個人情報保護委員会への報告が必要(個人情報保護法34条)
-
本人への通知が必要(個人情報保護法34条)
-
GDPR対応:
- 欧州ユーザーの個人データが含まれていないか確認が必要
-
含まれていた場合、72時間以内に監督当局に報告する義務がある(GDPR 33条)
-
不正アクセス禁止法への対応:
-
身代金支払いが資金移動に関する法律に抵触しないか、法的検討が必要
-
取引先との契約義務:
- 広告出稿主やあけぼの銀行との契約に、セキュリティインシデント発生時の報告義務が含まれていないか確認が必要
RACIチャートの問題: 以下の点で不適切です:
-
法務・知財が含まれていない:身代金支払いの法的リスク、個人情報保護法への対応、取引先との契約上の報告義務など、法務的な検討が必須です。法務・知財を「RA」(Responsible & Accountable)として含めるべき。
-
外部専門家が含まれていない:
- セキュリティコンサルタント(外部):ランサムウェアの解析、流出リスク評価のために必須
- 社外弁護士:法的リスク評価、個人情報保護法対応のために必須
-
これらを「C」(Consulted)として含めるべき
-
広報が含まれていない:身代金支払いが社会的に注目される可能性があることは、レポート自体が認めています。その場合、広報部門の関与が必要です。
-
人事が含まれていない:社員Aの感染原因が過失なのか、企業側のセキュリティ対策の不足なのか、確認が必要です。
**外部対応計画の問
✅ 良い点
- リスク評価マトリックスで多角的に被害を整理している点
- 社員への即時対応(代替PC支給・感染PC回収)が迅速に実施されている点
💡 確認してほしい点
- CEO・CFO向け: 経営声明(草案)や初期損失試算表が成果物として記載されていない。身代金支払い判断に関わる経営層の判断・承認プロセスが不明確
- DPO(データ管理責任者): オンラインストレージ同期フォルダの個人情報漏洩リスク確認が急務。「個人情報漏洩暫定リスト」の作成状況が記載されていない
- GanGan事業部本部長: 事業影響速報の成果物が見当たらない。顧客基盤10万人への波及リスク評価が薄い
- A社窓口: クライアント向けFAQや初報連絡体制の準備状況が記載されていない
- CSIRT: フォレンジック初動報告(TTP・侵害チェーン分析)が「解析結果待ち」となっており、現段階での暫定的な所見が不足している