脅威と向き合う哲学――これからのランサムの話をしよう：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

2017年から「標的型ランサムウェア」を追い続けているSBテクノロジーの辻伸弘氏。国内外の被害事例と独自の「自由研究」をもとに対策を紹介した。

[酒井真弓，ITmedia]

　「ITmedia Secrity Week 秋」において、SBテクノロジー プリンシパルセキュリティリサーチャーの辻伸弘氏は、ランサムウェアの国内外の被害事例と独自の「自由研究」をもとに対策を語った。

SBテクノロジー プリンシパルセキュリティリサーチャーの辻伸弘氏

　辻氏は2017年から「標的型ランサムウェア」を追い続けている。ランサムウェアとは、一言で言えば、情報を人質に身代金を要求してくるウイルス。例としてよく挙げられるのは、感染した端末や近隣のコンピュータを暗号化し、解除のために金銭を要求するケースだが、コンピュータそのものを起動できなくする、画面をロックして操作できなくするといった例もある。

加えて、最近では、侵入者が感染先の情報を盗み、情報を公開されたくなければ金銭（多くの場合は仮想通貨）を要求するという「身代金要求型ランサムウェア」も観測されている。

バックアップから狙われた、米ハンコックリージョナル病院

　2018年1月11日、夜9時半頃、事件は起こった。ハンコックリージョナル病院が保有するコンピュータが、ランサムウェアに感染。同院は、5万ドルの身代金を支払う決断を下した。

　一般的によく知られているランサムウェアの手口は、メールの添付ファイルやリンクを感染経路とするものだ。しかし、このケースでは、リモートデスクトッププロトコルが侵入経路となった。これは、リモートメンテナンスなどを目的に用意されていたものだったが、推測可能なIDやパスワードが設定されていたという。

　「実は、メンテナンスの口が侵入経路になるという例は多く見られます。リモートデスクトップの口を利用して入ってきた攻撃者は、SamSamと呼ばれるランサムウェアを展開、感染させてファイルを暗号化していきました」（辻氏）

　この事例のもう一つの特徴は、バックアップから狙われたという点だ。先にリモートデスクトッププロトコルを使って侵入したのは、バックアップのネットワークだったのだ

　「ランサムウェア対策として、バックアップを取りましょうというのはよく言われていることです。要は、ファイルが暗号化されてしまっても、コピーがあれば戻せるのですが、そんなことは攻撃者も分かっていて、標的型ランサムウェアにはバックアップからつぶしてくる傾向が見られます」（辻氏）

　ハンコックリージョナル病院は、木曜日の夜に事象を検知した後、5万ドルの身代金を支払う決断を早期に下し日曜日の夕方には電子カルテシステムを復旧、月曜日には通常業務に戻っている。

　「もちろん、反社会的勢力にお金を支払うことは褒められたことではありません。しかし、彼らは、自分たちが最も大切にしている『何をおいても患者の命を守る』ことを優先するために、お金を支払うという選択をしました。『どこにある何を守るのか』が組織として明確になっているため素早い対応を取ることができた事例です」（辻氏）

　同じくSamSamに感染したアトランタ市は、支払いを拒否する選択をし、その結果、30日たっても100％の復旧はできず、対応には約10億円を要したという。

　「どちらの決断が正しいか僕に断じることはできません。ただ、どういった選択を迫られるのか、皆さんも過去の例から知っておいた方がよいでしょう」（辻氏）

ノルスク・ハイドロ社に見る、事故対応5つのポイント

　2019年3月19日、ノルウェーの大手アルミニウム製造会社 ノルスク・ハイドロ社で事件は起こった。同社はランサムウェアの感染拡大を防ぐため、工場の基幹ネットワークを停止。平常業務に戻るまで約3週間を要した。

　国内外のさまざまな事故対応を見聞きする辻氏は、同社の対応を「ここ5年で1、2を争う素晴らしさ」と振り返る。ここからは、ノルスク・ハイドロ社の対応を、5つのポイントで整理する。

1、迅速に異常を公表

　3月18日の深夜に攻撃を受け、翌19日には公表していた。これは他の事案と比較して非常に早いタイミングだ。

　「まだ事態を把握しきれていないけれども、異常が起きているということを迅速に公表した。非常に良い対応だと思います」（辻氏）

2、コーポレートサイト以外のコミュニケーション経路を活用

　こうしたインシデントが発生すると多くの場合被害拡大防止のためコーポレートサイトを止めることがある。その際、他のコミュニケーション経路を持つ必要がある。今回同社は、自社のFacebookアカウント上で異常を公表した。

　サイバー攻撃の中には、コーポレートサイトにアクセスさせることでウイルス感染を引き起こす例もある。また最近では、安易にサイバー攻撃だとSNSで拡散され、火消しに追われるというケースも見られる。それらを回避するためにも、複数の情報提供手段を用意し、先手で情報を公開していく準備が必要である。

3、透明性を確保する姿勢

　報道陣を入れての質疑応答を複数回実施し、ウェブキャストで配信した。厳しい質問が飛ぶことも予想され、かなり勇気がいることだが透明性高く状況を伝える姿勢を見せることは重要だ。

　また、先ほどのSNSと同様、こうした事態に活用できるウェブキャストの仕組みを持っていたことも評価できるポイントだ。

4、頻繁なコミュニケーション

　さまざまな事故対応を振り返ると、一度のプレスリリースで総括して伝える組織は多い。しかし、ノルスク・ハイドロ社は、事故を公表した3月19日を皮切りに、プレスリリースやウェブキャストを通じて短いスパンで最新状況を伝えた。

　プレスリリースの中では、工場の操業状況についてセクターごとに詳しく報告していた。これには、取引先への情報提供の意味が含まれており、ステークホルダーに対し、きちんと状況を伝えようとする姿勢が大いに評価できた。

5、リーダーシップの可視化

　プレスリリースでは、復旧回復が遅れているセクターの代表者やCFO（最高財務責任者）の署名のもと状況を報告するケースが見られた。

　リーダーシップが可視化されており、対象業務において責任のある人間がしっかり事態を把握し、リーダーシップをとっている。これは、ステークホルダーにとって安心材料になる。

　5つのポイントに総じていえることは、ノルスク・ハイドロ社は全てにおいて準備ができていて、組織を上げて対応にあたったということだ。

　「よく想定外の出来事といいますが、要は見積もりが甘かったということ。大切なのは、いかに準備ができているか。そして、ITやセキュリティを担う人たちの役割は、技術研さんだけではなく、組織を巻き込んで働きかけることです」（辻氏）

標的型ランサムウェア観察記

　続いて辻氏は、「夏の自由研究」と称し、独自の標的型ランサムウェアの観察記録を発表した。

　「標的型ランサムウェアの攻撃者は、システムやファイルのロックに加え、窃取した情報を公開することによって脅迫を行う。つまり、どこの国のどんな組織が被害に遭ったのかといった情報が公開されているので、それを追うだけでも何らかの学びがあるのでは……というのが観察を始めた理由です」（辻氏）