「アサヒビール」へのサイバー攻撃の詳細が、少しずつ見えてきた。これまではビールその他商品の受発注、出荷が難しくなり、電話を受けてExcelに入力、代金請求作業も別途･･･と苦労している現場の話ばかりが伝わっていた。しかし、犯罪集団が同社への身代金要求を確実にしようと、個人情報漏洩をネタに圧力をかけていたとの報道があった。

 

アサヒGHDへのランサムウェア攻撃が示す「規制遵守の武器化」、コンプラ違反をテコに強力で即効性のある脅迫手段に 【生成AI事件簿】RaaSとして台頭したロシアのハッカー集団「Qilin」の攻撃手法とマイナンバーを奪った理由(1/6) | JBpress (ジェイビープレス)

 

　業務継続に必要なデータの他に、従業員の個人情報（マイナンバー）も奪ったと、犯行集団が公表したというのだ。ここにに至る前には、

 

　　　　

 

・アサヒビールにてシステム障害が発生し、業務停止

・サイバー攻撃により障害が発生したと発表、この時点ではランサム攻撃としていない

・犯罪集団からアサヒビールに業務再開のための身代金要求、おそらく要求を拒否

・アサヒビールは、障害がランサムウェアによるものと発表

・犯罪集団は重ねて個人情報漏洩もあったとバラすぞと脅迫、これにも応じず

・身代金を取れなかった犯罪集団は、個人情報を含む一部データを公開

 

　ということがあったと考えられる。業務停止をさせて再開のためのキーと引き換えに身代金を要求する。要求が容れられなければ、データを闇Webなどに公開するぞと脅す。これを「二重の脅迫」というが、第三の矢が「コンプライアンス違反」を問いかけるぞとの脅迫だったわけ。

 

　何しろ「違反」の原因は自分たちなのだから、随分虫のいい話である。だから重過失なく（普通の）サイバーセキュリティ対策をとっていた企業が高度な技術を持つ犯罪集団に攻撃され個人情報を窃取されたケースで、社会がコンプライアンス違反を叩いていれば、第三の脅迫が成立するわけだ。

 

　複数の被害企業間で、重過失がなければ「お互い様精神」で賠償請求は止めよう（*1）と提案しているが、これは単独被害企業についても適用して欲しいと思う。

 

*1：サイバー被害の後始末を改善（後編） - 梶浦敏範【公式】ブログ