サイバー攻撃を受けた後に気を付けるべきポイント

SHIFT SECURITY セキュリティの学び場ニュース解説サイバー攻撃を受けた後に気を付けるべきポイント

サイバー攻撃を受けた後に気を付けるべきポイント

2021.12.29 ニュース解説

今回の解説ニュース
「フォレンジック調査」ではどういった事が分かるのか？
2022年4月施行の個人情報保護法改正で何が変わる？

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

癒し系通話SNS「きゃらデン」への不正アクセス、調査結果を公表

東証マザーズ上場企業の株式会社メディア工房は12月22日、10月6日に公表した同社運営の「きゃらデン」に登録するキャストの個人情報流出について、調査結果を発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

SNSに不正アクセスがあり、個人情報が漏洩してしまったということです。サイバー攻撃を受けた後の対策や、個人情報の保護にかかわる法律について説明します。

今回のインシデントは、Webサイトで求人を行っていたところ、個人情報流出に関する通報があり発覚したということです。専門会社に調査を依頼したところ、従業員の最大269件の氏名や報酬額が流出した可能性があると発表されています。
インシデントの原因として、不正アクセスのあったSNSのアプリケーションにおいて、外部ネットワークのアクセス対策、外部からの不正アクセスに対する監視体制に不備があったことが挙げられています。

対策として、被害拡大防止策を実施の上、インシデントの公表と被害者に対してお詫びと注意喚起の連絡を行っています。また、再発防止策として、不正アクセス防止策や個人情報の管理の強化・徹底に取り組むということです。

「フォレンジック調査」ではどういった事が分かるのか？

フォレンジックは法化学の一分野ですが、フォレンジック調査の中でも、特にサイバー攻撃を受けた後に調査するデジタルフォレンジックについて説明します。デジタルフォレンジックとは、サイバー攻撃を受けた後に、ハードディスク等の媒体に記録されたデータの分析を行う調査です。攻撃者がログやファイルを削除していた場合、削除されたデータを復元できないか試みて、サイバー攻撃の痕跡を調査することがあります。

今回は、削除されたデータを復元する方法について、少し技術的な内容になりますが、できるだけわかりやすく説明します。まず、データの削除には大きく分けて2つあります。1つは論理削除でもう1つは物理削除です。論理削除は「削除したことにする」ことで、物理削除は「本当に削除する」ことです。それぞれについて説明します。

例えば、Aさんがパソコンのいらないファイルを削除したとします。この場合、論理削除であることがほとんどです。どういう状態かというと、Aさんが削除したファイルには「削除済み」という情報が追加されているだけで、データ自体はパソコン内に存在しています。簡単に例えると、紙に書かれた文字に対して斜線を引いているような状態で、文字自体は読み取ることができます。つまり、パソコンでは削除済みという情報に基づいてファイルを表示しませんが、データ自体はパソコン内に存在してるため、削除されたファイルや情報は復元できるということになります。これが、デジタルフォレンジックで行われる作業のひとつです。

再び、Aさんがパソコンから機密情報が含まれるファイルを削除したとします。重要なファイルなので、誰かに復元されては困ります。この場合、Aさんは物理削除をする必要があります。どういう状態かというと、Aさんが削除したデータに別のデータを上書きして、パソコン内に元のデータが完全に存在しないようにします。簡単に例えると、紙に書かれた文字を完全に見えなくなるまで黒塗りにしているような状態で、どれだけ目を凝らしても元の文字を読み取ることはできません。パソコン内にデータ自体が存在しておらず、ファイルを復元することはできなくなります。

これらは、サイバー攻撃のフォレンジック調査だけではなく、例えばパソコンを廃棄するときにも気を付ける必要があります。破棄したパソコンが誰かに拾われて、データを復元されないようにするためには、パソコンを物理的に破壊することがもっとも手堅い削除方法になります。例えると、文字が書かれた紙自体を燃やしてしまえば文字を読み取ることは完全にできなくなります。

2022年4月施行の個人情報保護法改正で何が変わる？

2020年6月12日に公布され、2022年4月に施行される個人情報保護法の主な改正点について説明します。

個人情報保護委員会が公表している「令和2年改正個人情報保護法について」の資料によると、改正ポイントは主に6つあり、「個人の権利」「事業者の守るべき責務」「事業者による自主的な取組を促す仕組み」「データ利活用に関する施策」「ペナルティ」「法の域外適用・越境移転」です。今回はその中から「事業者の守るべき責務」について説明します。

個人情報保護委員会への報告と本⼈への通知が義務化: まず、事業者の守るべき責務として、個人情報の漏えい等が発⽣し、個⼈の権利利益を害するおそれが⼤きい場合に、個人情報保護委員会への報告と本⼈への通知が義務化されました。具体的な対象事案として、要配慮個⼈情報の漏えい、財産的被害のおそれがある漏えい、不正の⽬的によるおそれがある漏えい、1,000件を超える漏えい等が挙げられています。なお、漏えい等の「おそれ」がある事案も対象になるとされており、例えば、サイバー攻撃によってアカウント情報やクレジットカード情報が漏えいした場合だけでなく、設定ミス等で1000人以上の個人データがインターネットから閲覧可能な状態になっていた場合も、報告義務が発生することになります。
報告については速報と確報の二段階で行う必要がある: また、報告の期限については速報と確報の二段階で行う必要があるとされており、速報については報告対象の事態を知ってから速やかに、概ね3～5日以内とされています。また、確報については報告対象の事態を知ってから30⽇以内、不正の⽬的によるおそれがある漏えい等の場合は60⽇以内とされています。

今回はサイバー攻撃を受けてしまった後にセキュリティで気を付けるべきポイントについてお届けしました。万が一インシデントが発生してしまった場合も問題なく対応できるように、事故前提の準備も漏れなく行いましょう。

Voicyでニュース解説ラジオ配信中！

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください！

今日の10分セキュリティラジオはこちら

この記事の著者セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。