こんにちは。弁護士の浅見隆行です。
現在、多くの会社が自社サイトを保有し、またクラウド、SaaS、ASPなどのサービスを利用しています。
今日紹介する事例は、ネットの時代だからこそ発生したといえます。
当事務所も設立した11年前からSaaSを利用しているほか、コロナ禍でのテレワークと事務所内のNASの故障で保存していたデジタルデータがすべて飛び復旧もできなかったタイミングが重なったことをきっかけに、現在はデジタルデータもオンラインストレージで保存しています。
2つの乗っ取り事案
海外支社にシステム、生産・管理システム、サーバを乗っ取られたスーパープリント
2024年5月18日、印刷会社のスーパープリント(SuperPrint)が、日本支社と韓国支社との対立をきっかけに、物理的に韓国支社が管轄していた生産システムやサーバから日本支社が締め出されsuperprint.jp のウェブサイト、管理システム、メールへのアクセスができなり、事業の継続が困難になったことを明らかにしました。
ドメイン権限だけは取り戻せたとのことで、https://www.superprint.jp には2024年6月7日時点では、以下のスクリーンショットのとおり経緯を説明する内容が表示されていました(6月8日時点では別の内容になっています)。
子会社サイトのドメインを乗っ取られた夢展望子会社
2024年6月3日には、ファッション通販サイトを運営する夢展望の子会社トレセンテが、公式サイトのドメイン(trecenti.com)を管理しているドメイン管理会社(レジストラ)に第三者による不正アクセスがあり、当該ドメインが海外のドメイン管理会社に移管されてしまったために、公式サイトが閲覧できなくなっていることを明らかにしました。
このようにドメインを奪われる事例は「ドメイン名ハイジャック」などと呼ばれます。
JPCERT/CCでは、2013年7月にも、今回同様に、ドメイン管理会社を移管されてしまった「ドメイン名ハイジャック」の事例が報告されています。
ドメイン名ハイジャックに対する技術的な対策は、jpドメインを管理・運営するJPRSから以下の内容が提唱されています。
また、ドメイン管理会社であるGMOからも、過去の事例とともに以下の内容が提唱されています。
情報リスク管理体制を整備する必要性
スーパープリントと夢展望子会社トレセンテに共通しているのは、システムやドメインへのアクセス権限を奪われ、乗っ取られてしまったことです。
こうした乗っ取り事例が発生したときに、技術に疎い取締役の多くは「ITやネットに関する問題だから私にはわからない。技術的・専門的なことは、システムの担当者にに任せる。しっかり対策をしておくように。」と、注意するだけになりがちです。
他社事例を見て、こういう注意喚起をする意欲があれば、まだマシかもしれません。
下手すると(実際には多くが)、「よくわからないから対処しない」「うちの会社にはシステム部門がないから、何をしたらいいかよくわからない」と放置してしまうことです。
しかし、取締役は、会社法に基づいて内部統制を構築する義務を負い、かつ、その一環としては「情報の保存・管理体制」を整備する義務を負っています。
つまり、システムやドメインへのアクセス権限を奪われ、乗っ取られてしまうことを予防するのは、取締役の法的義務なのです。
最近では、LINEヤフーの情報漏えいのケースで、総務省が「セキュリティガバナンスの不備」と指摘したことは記憶に新しい、と思います。
技術的・専門的な対策の具体的な内容は専門外であるとしてシステムの担当者や専門の会社に委託するにしても、会社として「システムやドメインへのアクセス権限を奪われ、乗っ取られてしまうことを予防するための対策を講じなければならない」との方向性を決定することは取締役が判断しなければなりません。
危機管理の観点も考慮すると、取締役は、
- 「今回、スーパープリントや夢展望の子会社トレセンテでこうした乗っ取り事案が発生した。わが社では、こうした事案の発生を予防できるのか。予防するためにはどんな対策が必要か。その対策のためには、どういう業者に依頼して、どれくらいの費用が発生するのか検討するように。」
- 「国内と海外の支社同士の争いだけではなく、社内の部署同士の争いによってシステムが止まってしまうという構図は考えられるのか。防ぐにはどうしたら良いか。組織論として考えなければならない。」
というレベルまでの内容を判断することが求められている、と言ってよいでしょう。
スーパープリントや夢展望の子会社トレセンテのケースが相次いだタイミングだからこそ、社内のシステム管理やドメイン管理の体制を今一度見直してください。
