2018年5月に施行された「EU一般データ保護規則(GDPR)」。個人のプライバシー保護を強化する目的で施行された法律である。しかし、サイバー攻撃を仕掛ける犯罪者は、GDPRを格好の脅しの材料として利用できると考えているようだ。

 GDPRを脅しの材料に使う攻撃手法は古典的なものだ。攻撃者はまず、GDPRに対応しなければいけない企業を洗い出し、攻撃のターゲットを定める。そしてターゲット企業に対してハッキングや標的型攻撃などを仕掛け、個人情報を入手する。入手した情報を盾に、公開されたくなければ身代金を払え、と脅すわけだ。

 このような攻撃は、「ランサムハック(Ransomehack)」と呼ばれている。国際的なフィッシング対策の業界団体APWG(Anti-Phishing Working Group)が2018年7月に東京で開催したセキュリティイベントの講演では、ビジネスメール詐欺やマイニングマルウエアなどと並ぶ脅威として紹介された。

ランサムハックの攻撃手法
ランサムハックの攻撃手法
[画像のクリックで拡大表示]

 キヤノンITソリューションズのITインフラセキュリティ事業部エンドポイントセキュリティ企画本部技術開発部の石川 堤一 マルウェアラボ マネージャー シニアセキュリティリサーチャーは、「2018年6月に、ブルガリアのセキュリティ会社がGDPR対応企業に対する大規模な攻撃を確認した」と説明する。

 攻撃者がGDPRを脅しの材料に使う理由は、企業がGDPRに重大な違反をした場合の高額な制裁金にある。違反企業は最大で2000万ユーロ(約26億円)、もしくは前年の世界売上高の4%のいずれか大きい金額を制裁金として課される可能性がある。「高額な制裁金を払うよりは、身代金を払った方がマシと考えてしまう企業が現れることが予想される」(石川シニアセキュリティリサーチャー)。