Langley のサイバーノーガード日記 サイバーノーガード戦法が破れる日? 三菱UFJ証券の顛末 | ScanNetSecurity
2024.03.29(金)

Langley のサイバーノーガード日記 サイバーノーガード戦法が破れる日? 三菱UFJ証券の顛末

 2009年11月12日、三菱UFJ証券事件の判決が下された。この事件は、三菱UFJ証券のシステム部長代理が、顧客情報149万人分を持ち出し、約5万人分を売却したものである。ちなみに、149万人というのは、同社のほぼ全顧客なんだそうである。要するに、全顧客データを持ち出さ

特集 特集
 2009年11月12日、三菱UFJ証券事件の判決が下された。この事件は、三菱UFJ証券のシステム部長代理が、顧客情報149万人分を持ち出し、約5万人分を売却したものである。ちなみに、149万人というのは、同社のほぼ全顧客なんだそうである。要するに、全顧客データを持ち出されたわけだ。キャバクラで散財して借金を作ったのが原因というからお粗末である。不正アクセス禁止法と窃盗の罪で懲役2年の実刑判決だった。

 三菱UFJ証券は、この事件で個人情報が漏えいした約5万人に対して1万円のギフト券を配布した。約5億円の損害だ。過去の個人情報漏えい事件では、500円から1,000円のお詫びが多かったことを考えると、飛び抜けて高い金額である。さらに合計5億円というのも多い。

 さらに同社が被った損害はこれだけではない。報道によれば、検察が試算した損害額は、なんと70億円。顧客からの問い合わせ対応、弁護士費用、発注減少などを全部含むと合計でそこまでふくらむということである。

 話半分としても35億円。もし、本当にそうだとすると、これまで多くのシステム管理者を魅了してやまなかったサイバーノーガード戦法が破られかねない。サイバーノーガード戦法とは、セキュリティ対策をちゃんと行わず、インシデントが起きてもお詫びだけですませ、最後には自分は被害者だと開き直るという、素敵に無責任なシステム運用方針だ。

 このサイバーノーガード戦法は、インシデントを予防するコストよりも事後に謝った方が安いという経済合理性に基づいているのだ。このコストが逆転すると、意味がなくなってしまう。

サイバーノーガード戦法 3つの魅力
https://www.netsecurity.ne.jp/7_12386.html
サイバーノーガード戦法 3つのデメリット
https://www.netsecurity.ne.jp/7_12428.html
個人情報漏えいの損害賠償は恐い?
https://www.netsecurity.ne.jp/7_12464.html

 サイバーノーガード戦法の要諦は次の通りである。

・セキュリティ対策は行わない。
・インシデント(主として顧客情報の漏えい)が発生したら、とりあえず謝罪する。
・自分たちはあくまで被害者であると主張する。悪いのはインシデントを引き起こした連中だと強く主張する。必要に応じて、攻撃者を告訴する。
・被害者には基本的にはお詫びですませる。
・よほどうるさい場合には、金一封くらいを送る。

 この戦法が有効であるためには、いくつかの条件が必要となる。

(1) インシデントが発生した際のお詫びの金一封と損害金額の合計が、それを予防するための必要なシステム投資を上回らない。
上回るようなら予防した方がいいということになり、サイバーノーガード戦法の経済合理性は失われる。

(2) 短期的に業績に影響を与えることがあっても、中長期的には影響がない。つまり利用者や取引先などサルであり、事故が起きても業績に影響がないということである。短期的には影響があるくらいである。

(3) 情報漏えいを悪用した相手を法的に罰することができる。
脆弱性を放置しているわけなので、きわめて攻撃しやすい状態である。そこをできるだけ、攻撃させないようにするには法的威嚇が有効だ。うちのサービスは穴だらけだけど、悪用したら逮捕するよ、ということである。

 今回の判決は、(3)にはプラスに作用したが、(1)と(2)を微妙にした。お詫びの金一封が5億円とちょっと多い。その上、70億円の損害である。これはかなり多額である。寡聞にして三菱UFJ証券のシステム予算は知らないが、もしかしたらちゃんと予防策を講じた方が安いかもしれないと思わせる。

 (2)についての判断は、まだ時期尚早であろう。ただ、70億円の損害には機会損失による逸失利益も含んでいるそうなので、短期的とはいえかなり悪影響があったのは確かなようだ。ついでに言うと、三菱UFJ証券は金融庁から許可を受けて商売しているわけなので、お役所の意向というものが重要だ。今回の事件では、金融庁による行政処分があった。これは痛いであろう。

 こうした一連の出来事を考えると、サイバーノーガード戦法という言葉が生まれてから5年経って、やっとこの戦法を使うための前提がゆらいできた。この言葉を考えた者としては、さみしいような気もするが、これで少しは日本のサイバーセキュリティもマシになるかと思うとうれしい。

【執筆:Prisoner Langley】
執筆者略歴:
 民間研究者として、さまざまな角度から、セキュリティ事象を調査研究、BUGTRAQへの投稿などを行う。2004年に発生した、コンピュータソフトウェア著作権協会(ACCS)のセキュリティ事件の際、セキュリティ対策のひとつとして「サイバーノーガード戦法」を提唱。
 4コママンガを描くこともある。執筆依頼はSCAN編集部まで

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×