自社の端末がEmotetに感染した場合に留意すべき法的論点
IT・情報セキュリティ自社の端末がEmotet(エモテット)に感染した場合、法律上どのような点に留意するべきでしょうか。
Emotetは、感染した端末に記録されているメール情報等を収集し、アドレス帳に記録されていた取引先に対してマルウェア付きのメールを送信して感染拡大を図る挙動を有しています。
メール情報等を窃取される結果、改正個人情報保護法のもとでは個人情報保護委員会への報告義務が生じます。また、感染についてセキュリティ体制の不備など過失が認められる場合には、取引先から調査費用といった損害について賠償請求を受ける可能性があります。
解説
Emotetとは
Emotetとは、感染したPC端末にトロイの木馬やランサムウェアなどの他のマルウェアをダウンロードさせたり、感染した端末から窃取した情報をもとに、さらに他の端末へEmotetの感染を広げる挙動(Emotetをダウンロードさせるファイルが添付されたメール(攻撃メール)を送信する等)を持つマルウェアです。
Emotetによるサイバー攻撃は、2019年ごろから日本国内の企業で感染が相次ぎ話題になりました。その際、独立行政法人情報処理推進機構(IPA)は、「『Emotet(エモテット)』と呼ばれるウィルスへの感染を狙うメールについて」と題するWEBページを公開し、注意喚起を行っています(以下「本件注意喚起」といいます)1。
その後、2021年1月27日に、EUROPOL(欧州刑事警察機構)が、欧米8か国の法執行機関・司法当局の協力により、Emotetのボットネット(攻撃メールをばらまいたり、感染した端末を操作するための機器等)を停止させたこと(テイクダウン)が報じられたため、Emotetの感染被害は終息したかに思われました。
しかし、2021年末より活動再開が確認され、Emotetの感染が再び拡大しています。このような状況に対応すべく、IPAは、本件注意喚起を頻繁に更新し、日本企業に対して改めて注意を喚起しています 2。
本件注意喚起では、実際に送信されたEmotetへの感染を狙う攻撃メールを引用しながら、Emotetによるサイバー攻撃の手法の一例が紹介されています。詳細については「『Emotet(エモテット)』と呼ばれるウイルスへの感染を狙うメールについて」から参照できますが、概ね以下のとおりです。
- 攻撃者が対象者(X社)に対し、Emotetに感染させる機能を持つファイルを添付した攻撃メールを送信する。
- 攻撃メールを受領したX社の担当者が、添付ファイルを開き、マクロ(プログラム)を実行し、使用していた端末がEmotetに感染する。
- Emotetにより、感染した端末から当該端末内のメールソフトに記録されていたアドレス帳データやメールの件名・本文情報等(以下「メール情報等」といいます)が収集され、攻撃者に取得される。
- 攻撃者は、③で取得したメール情報等をもとに、X社の担当者になりすます等により巧妙な攻撃メールを作成したうえで、別の対象者(Y社)に対してEmotetに感染させる機能を持つファイルを添付した攻撃メールを送信する。
※⑤⑥は、上記②③と同様。
Emotetへの感染を狙う攻撃メールでは、実際に当事者間でやりとりされたメールが引用(転載)等のかたちで使用される場合があるなど、一見してEmotetの攻撃メールであることがわからないように巧妙な偽装がなされています。これが、世界中でEmotetが猛威を振るっている一因であるといえます。
改正個人情報保護法のもとでの報告・通知等の義務
2022年4月1日から施行される個人情報保護法26条においては、個人情報取扱事業者に対し、一定の類型に該当する個人データの漏えい等が生じた場合に、個人情報保護委員会等および本人に対し、報告・通知等をなすべきとする義務を定めています。その一類型として「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」が定められており(個人情報保護法施行規則7条3号)、サイバー攻撃により個人情報漏えい(のおそれ)が生じた場合には、同号に該当します。
特にEmotetは、上述のとおりメール情報等を収集する機能を持つことが知られており、かつ、メール情報等には個人情報が含まれることが多いため、自社の端末のEmotetへの感染が発覚した時点で、被害企業には個人情報保護法に沿った報告・通知等の義務が生じる可能性が高いことに留意する必要があります。
取引先からの賠償
感染元企業(1の例でいうX社)が業務上使用するPC端末がEmotetに感染し、メール情報等が攻撃者に取得され、それをきっかけとしてメール情報等に含まれていた感染元企業の取引先企業(上記の例でいうY社。以下「感染先企業」といいます)にもEmotet感染被害が生じた場合、当該感染元企業に過失が認められる場合には、感染先企業に生じた損害について、損害賠償責任を負う可能性があります(民法709条)。
1で解説したとおり、IPAから本件注意喚起によってEmotetに対する注意喚起が繰り返しなされていることを踏まえると、感染元企業が十分なセキュリティ対策を施していなかった場合には、予見可能性を前提とした過失が認められる可能性が十分にあります。
Emotetに関連する損害賠償請求の「損害」として考えられるのが、Emotetの感染経路や被害範囲を特定するために感染先企業で行われるデジタルフォレンジック調査費用です。Emotetによる情報漏えいが問題となった裁判例は本稿執筆時点では確認されていないものの、SQLインジェクションを原因とする情報漏えいに関してシステムベンダーの損害賠償責任が問題となった事案において、情報漏えいの原因調査に専門的知見を用いる必要があることを考慮して、フォレンジック調査費用全額の損害賠償責任が認められていることは参考となります(東京地裁平成26年1月23日判決・判時2221号71頁)。
Emotetの感染経路や被害範囲を特定するための調査においても調査会社の専門的知見が必要となることを踏まえると、上記事案と同様に、Emotet感染に伴う損害賠償が問題となる場面でも、調査費用について賠償責任が認められる可能性がある点には注意が必要です。
なお、Emotetへの対策を講じるべきであることは、感染先企業においても同様です。多くの場合において、感染先企業にもEmotetに感染したことにつき一定の落ち度が認められる可能性が高く、最終的には過失相殺の問題として、感染元企業の責任は限定される余地があります。
感染元企業への賠償請求(または求償請求)
仮に感染先企業からEmotet感染被害についての責任を追及された場合、感染元企業はその賠償責任のすべてを自社で負担しなければならないのでしょうか。Emotetの性質からすれば、感染元企業は、感染先企業との関係では加害者となりますが、同時に、他の取引先からEmotetに感染させられた被害者であることも十分想定されます。
下図でいうと、X社はY社から損害賠償請求を受けたものの、実はX社よりも前にZ社がEmotetに感染しており、その結果としてX社がEmotetによる攻撃を受けていた可能性が想定されます。
したがって、感染元企業はその感染経路を調査することにより、別の取引先を装うメールが原因でEmotetに感染したことが明らかになった場合には、当該取引先企業(Z社)に対して、Emotet感染の被害者として、自らが被った損害の賠償請求(または求償請求)を行う余地があります。
-
独立行政法人情報処理推進機構 セキュリティセンター「『Emotet(エモテット)』と呼ばれるウイルスへの感染を狙うメールについて」
(2022年2月9日最終更新、2022年2月14日最終確認) ↩︎ -
2022年2月9日付の更新によれば、IPAが設置している情報セキュリティ安心相談窓口には、2022年2月1日から8日までの間に45件のEmotetに関する相談があり、これは、相談や被害の最悪期であった2020年9月~11月に匹敵するペースだとされています。 ↩︎
八雲法律事務所
- IT・情報セキュリティ
- 知的財産権・エンタメ
- 訴訟・争訟