Salesforceがデータ流出に対して身代金を支払わない理由
先月末、アサヒグループホールディングスがサイバー攻撃によって業務停止に追い込まれて大きな話題になりましたが、その影響が消えていないうちに、また大規模な情報漏えい事件が起きました。セールスフォースの顧客企業からデータが漏えいしたというのです。
別の記事によると、漏えいしたデータは10億件ということで、かなり大規模な漏えいであったようです。ハッカー側はセールスフォースに対して身代金を要求しましたが、セールスフォースは「いかなる脅しにも応じない」との方針で、その旨を顧客に通知したということです。
こうした要求には応じない、というのがこの種の問題については基本的な対応とされますが、実際には払ってしまっているケースが多いと言われています。(アサヒの件がどうなのかはわかりません)その点では「さすがセールスフォース」という評価もできるのですが、流出の経緯を詳しく見ていくと、別の見方もできます。
まず、今回の流出はセールスフォース本体からでは無く、連携するサードパーティソフトが侵害されて起きたという点。そんな話をセールスフォースに持ち込んでも、「うちは知らないよ」ということになってしまいます。そして、10億件のほとんどが連絡先情報やサポート情報などの、比較的重要で無い情報であったこともあるでしょう。いずれにせよセールスフォース側には落ち度がなく、身代金を支払う理由がない、ということかと思います。
また、攻撃はランサムウェアでは無くビッシング(Vishing)によるものとのことです。Vishingとは、電話など音声(Voice)を使ったフィッシング詐欺のことで、まあ、「オレオレ詐欺」みたいなものですね。メールやWebを見ない層にも有効ということで、最近流行っているようです。日本ではまだランサムウェアの方が多いようですが、これは日本語が障壁になっているのかもしれません。
被害企業にしてみれば、ランサムウェアだろうがフィッシングだろうが、騙されて情報を盗まれることに変わりはありません。そして、盗んだ情報をネタに企業を強請り、金銭を得ようとするのがサイバー恐喝で、今、この被害が急増しているのです。
先に「こうした要求には応じない、というのがこの種の問題については基本的な対応とされますが、実際には払ってしまっているケースが多いと言われています」と書きましたが、この問題のやっかいなところは「支払ったからといって、データを返してもらえる保証はない」ということです。
お金を取られたあげくにデータも返ってこない、というのは最悪の状況ですが、世の中には悪い奴がいるもんで、さらにその先もあります。「お金を払ってデータを返してもらったが、同じネタを元に再度強請られる」というケースがあるのだそうです。こうなると、果てしなくお金を吸い上げられることになります。だからこそ、「こうした要求には応じない」というのが基本なのです。
詐欺に引っかからないのが一番ですが、それはそれで難しい(一般的な詐欺も、減るどころか増えてますからね)わけですから、まずはバックアップをとるところから始めるしかなさそうですね。
