「ランサムウェア攻撃の犯罪集団から連絡」、情報公開の義務化に企業は戦々恐々

今夏にMGM Resortsがランサムウェアによって数日にわたってシステムを停止する事件が起こったが、Caesarsは身代金を払って事業への影響を回避していたことが明らかになった。増加する犯罪集団によるランサムウェア攻撃。12月には上場企業に情報開示を求める新規則が始まる。→過去の「シリコンバレー101」の回はこちらを参照。

米企業を襲う不正アクセスとランサムウェア被害

米セキュリティ企業のOktaが10月20日にサポートシステムへの不正アクセスを公表し、同社の株価が急落した。

一方、1カ月ほど前にカジノ運営のCaesars Entertainmentがランサムウェア(身代金要求型ウイルス)グループに侵入されて脅迫を受けていたことを8-K報告書で公表した。しかし、Caesarsの株価はその事件による影響をほとんど受けなかった。このような対照的な株主の反応が今、米市場に上場する企業の頭痛の種となっている

Oktaのサポートシステムの不正アクセスでは、特定のOkta顧客がアップロードしたファイルの一部が閲覧可能となったが、影響を受ける可能性がある顧客は一部であり、ユーザーデータやその他の機密システムは侵害されていない。

しかし、夏にMGM Resortsのシステムにランサムウェアが仕掛けられ、数日にわたるシステム停止に追い込まれた事件で、実行犯と見られるグループがOktaの環境にアクセスしてサイバー攻撃の機会をうかがっていたと主張している。

加えて、タイミングも良くなかった。Oktaが10月上旬に年次イベント「Oktane 2023」を開催し、アイデンティティのAIセット「Okta AI」を発表して注目を集めていただけに、悪いニュースがいつも以上に目立った。結果、90ドル台を目指して緩やかな上昇を続けていたOkta株が急落、60ドル台の後半まで落ち込んで低迷が続いている。

Caesars Entertainmentが受けたサイバー攻撃はMGMと同様だったが、異なるのはCaesarsがサイバー犯罪グループとの取り引きに応じたことだ。3000万ドルを要求され、最終的に1500万ドルで合意し、その一部は保険でカバーされたと報じられている。

Caesars株もここ数カ月下落が続いているが、それは米景気の不透明感によるもので、サイバー事件の公表による下落は小さかった。千数百万ドルを支払ったものの、数日にわたってシステムを停止させたMGMと違って、Caesarsは事業の中断にほとんど直面せず、結果的にダメージを抑えられた。

• 

  ランサムウェアを巡ってCaesars Entertainmentが犯罪集団と取り引きしたことは非難されたが、混乱を回避して事業を安定して継続させたことを株主は評価。

12月に施行されるSECのサイバー開示規則

これらが他の上場企業にとっても頭痛の種になっているのは、SEC(米国証券取引委員会)が新たに設けたサイバー開示規則が12月に施行されるからだ。この規則は、投資家に重大な影響を及ぼすサイバーセキュリティに関する情報を、4営業日以内に8-Kファイルを通じて公開することを上場企業に義務付けている。

サイバーセキュリティ事件で数百万ものデータを失うことは投資家が知るべき重要な情報だ。企業が火事で製造施設を失うことと同等に扱われるべきというのがSECの主張であり、投資家が入手できる情報の透明性と一貫性を高めようとしている。

この新規則に対して、検討段階から多くの上場企業が「あいまいでリスクが大きい」と激しく反発していた。火事などの事故は公表されるべきでも、身代金が要求されるような犯罪に関する情報の公開は状況次第。

情報漏洩が重大であると判断されてから4日以内という短い期限での公表は、まだ対策が十分ではなく、他の攻撃者にシステムの脆弱性を知らせることになる可能性がある。また、交渉の余裕がなくなり、攻撃者が迅速に過激な行動を取る可能性も危ぶまれる。

しかしながら、12月にはこの新規則が発効する。それに備えて、多くの上場企業は影響を事前に確かめるように、すでに情報開示の取り組みを開始している。Caesarsが8-K報告書で事件を公表したのもその1つだ。

現在の課題は、サイバー攻撃の情報開示に対する消費者や株主の反応が予測困難である点だ。Oktaのように冷静に対応を進めた企業の株価が下落し、身代金を支払ったCaesarsは影響を受けなかった。

だが、サイバー犯罪グループとの取り引きが常に好結果をもたらすわけではない。犯罪グループに与し易いと見られる可能性もあり、今回のCaesarsのケースは「結果オーライ」な事例とも言える。

投資家や顧客を保護するために企業のアプローチを改める時期が訪れた

サイバーセキュリティの問題に対する一般的な認識は、過去4～5年で深まってきたが、それでも多くの企業はまだ顧客や投資家に向けて、この問題についてオープンにコミュニケーションすることを躊躇している。

しかし、サイバーセキュリティ侵害から損害を受ける可能性がある投資家や顧客を保護することは必要であり、投資を受ける企業はその信頼に応えるべきだ。短期的にはリスクが伴うかもしれないが、アプローチを改める時期が訪れたと言える。

夏にサイバー攻撃を受けたMGMは、事件発生時にソーシャルメディアを通じて情報を伝えるようになり、その情報を8-K報告書にそのまま掲載している。すでに情報開示の取り組みを行っている企業にとって、新規則の負担は比較的軽いと言える。

4営業日という短期間の報告期限が妥当であるかはまだ議論の余地があるものの、サイバー対応に関する説明責任を負うことで、企業はサイバーセキュリティ能力や危機対応の強化、役員向けのサイバートレーニングなど、サイバーセキュリティ・プログラムの整備に乗り出さなければならなくなる。

一部の企業にとっては厳しい要請かもしれないが、「石の上にも三年」と言われるように、最初は困難でも継続すれば報われる。MGMのように攻撃を受けてからの事後対応は損失も大きい。SECの新規則は新たな義務ではなく、行動を促すものとして捉えるべきだ。