Langley のサイバーノーガード日記 サイバーノーガード戦法が破れる日? 三菱UFJ証券の顛末 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.13(水)

Langley のサイバーノーガード日記 サイバーノーガード戦法が破れる日? 三菱UFJ証券の顛末

特集 特集

 2009年11月12日、三菱UFJ証券事件の判決が下された。この事件は、三菱UFJ証券のシステム部長代理が、顧客情報149万人分を持ち出し、約5万人分を売却したものである。ちなみに、149万人というのは、同社のほぼ全顧客なんだそうである。要するに、全顧客データを持ち出されたわけだ。キャバクラで散財して借金を作ったのが原因というからお粗末である。不正アクセス禁止法と窃盗の罪で懲役2年の実刑判決だった。

 三菱UFJ証券は、この事件で個人情報が漏えいした約5万人に対して1万円のギフト券を配布した。約5億円の損害だ。過去の個人情報漏えい事件では、500円から1,000円のお詫びが多かったことを考えると、飛び抜けて高い金額である。さらに合計5億円というのも多い。

 さらに同社が被った損害はこれだけではない。報道によれば、検察が試算した損害額は、なんと70億円。顧客からの問い合わせ対応、弁護士費用、発注減少などを全部含むと合計でそこまでふくらむということである。

 話半分としても35億円。もし、本当にそうだとすると、これまで多くのシステム管理者を魅了してやまなかったサイバーノーガード戦法が破られかねない。サイバーノーガード戦法とは、セキュリティ対策をちゃんと行わず、インシデントが起きてもお詫びだけですませ、最後には自分は被害者だと開き直るという、素敵に無責任なシステム運用方針だ。

 このサイバーノーガード戦法は、インシデントを予防するコストよりも事後に謝った方が安いという経済合理性に基づいているのだ。このコストが逆転すると、意味がなくなってしまう。

サイバーノーガード戦法 3つの魅力
https://www.netsecurity.ne.jp/7_12386.html
サイバーノーガード戦法 3つのデメリット
https://www.netsecurity.ne.jp/7_12428.html
個人情報漏えいの損害賠償は恐い?
https://www.netsecurity.ne.jp/7_12464.html

 サイバーノーガード戦法の要諦は次の通りである。

・セキュリティ対策は行わない。
・インシデント(主として顧客情報の漏えい)が発生したら、とりあえず謝罪する。
・自分たちはあくまで被害者であると主張する。悪いのはインシデントを引き起こした連中だと強く主張する。必要に応じて、攻撃者を告訴する。
・被害者には基本的にはお詫びですませる。
・よほどうるさい場合には、金一封くらいを送る。

 この戦法が有効であるためには、いくつかの条件が必要となる。

(1) インシデントが発生した際のお詫びの金一封と損害金額の合計が、それを予防するための必要なシステム投資を上回らない。
上回るようなら予防した方がいいということになり、サイバーノーガード戦法の経済合理性は失われる。

(2) 短期的に業績に影響を与えることがあっても、中長期的には影響がない。つまり利用者や取引先などサルであり、事故が起きても業績に影響がないということである。短期的には影響があるくらいである。

(3) 情報漏えいを悪用した相手を法的に罰することができる。
脆弱性を放置しているわけなので、きわめて攻撃しやすい状態である。そこをできるだけ、攻撃させないようにするには法的威嚇が有効だ。うちのサービスは穴だらけだけど、悪用したら逮捕するよ、ということである。

 今回の判決は、(3)にはプラスに作用したが、(1)と(2)を微妙にした。お詫びの金一封が5億円とちょっと多い。その上、70億円の損害である。これはかなり多額である。寡聞にして三菱UFJ証券のシステム予算は知らないが、もしかしたらちゃんと予防策を講じた方が安いかもしれないと思わせる。

 (2)についての判断は、まだ時期尚早であろう。ただ、70億円の損害には機会損失による逸失利益も含んでいるそうなので、短期的とはいえかなり悪影響があったのは確かなようだ。ついでに言うと、三菱UFJ証券は金融庁から許可を受けて商売しているわけなので、お役所の意向というものが重要だ。今回の事件では、金融庁による行政処分があった。これは痛いであろう。

 こうした一連の出来事を考えると、サイバーノーガード戦法という言葉が生まれてから5年経って、やっとこの戦法を使うための前提がゆらいできた。この言葉を考えた者としては、さみしいような気もするが、これで少しは日本のサイバーセキュリティもマシになるかと思うとうれしい。

【執筆:Prisoner Langley】
執筆者略歴:
 民間研究者として、さまざまな角度から、セキュリティ事象を調査研究、BUGTRAQへの投稿などを行う。2004年に発生した、コンピュータソフトウェア著作権協会(ACCS)のセキュリティ事件の際、セキュリティ対策のひとつとして「サイバーノーガード戦法」を提唱。
 4コママンガを描くこともある。執筆依頼はSCAN編集部まで

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  5. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×