「サプライチェーン」を人質に取るようになったランサム攻撃 ――ラックの西本氏が語る、万一への備え:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
サイバー攻撃から企業の重要資産である「データ」をどう守ればいいのか。ランサムウェアが経営に与える本当の被害とは。その実態と対策のポイントを語った。
拠点間接続のように接続元が固定されたケースならば比較的侵入されるリスクは低い。だが、運用・保守を担う事業者やサプライヤーなどの別組織から接続してくるケースでは、より厳密に管理し、モニタリングする必要がある。またテレワークの場合、コストや使い勝手との兼ね合いで多要素認証(MFA)の導入が難しく、ユーザーIDとパスワードのみで認証する環境もまだあるが、そこは非常に厄介な部分だ。
そして西本氏は「推測ですが、攻撃者にとってVPNは『おいしい』ということなんです。企業システムにVPNがあるというのは、『ここに金庫がありますよ』と外に示しているようなものです」と警鐘を鳴らし、VPNがどのように使われているかをもう一度見直すべきだと呼びかけた。
やりたくない作業ではあるものの「最悪の事態」の想定を
そもそも、なぜこのようにランサム攻撃が増えてきているのだろうか。西本氏は、国境を越えて簡単に金銭のやりとりができて追跡を逃れやすい「仮想通貨」の一般化、秘匿化メッセンジャーやダークウェブといった「コミュニケーションテクノロジー」の一般化に伴って、ランサムウェアの分業体制に拍車が掛かっている状況があると指摘した。直接自らの手で攻撃を行わなくても、ランサムウェアの開発や基盤を提供するだけでビジネスが成立してしまっている、というわけだ。
この状況に対して、企業ができることは何だろうか。
西本氏はまず、事前に影響を推測しておこうと呼びかけた。「特に経営者は、万一の時に何が起きるか、被害範囲の想定やケースごとの復旧のめど、そして取引先も含めた影響を推測しておくことが大事です。あまりやりたくない作業ですが、非常に重要な観点です」(西本氏)
ランサム攻撃の場合には、さらにいくつか特有の考慮すべきポイントがある。
その1つが、「犯人との交渉」だ。本来、犯罪者とは一切交渉しないのが当然であり、万一の際でも被害を最小に抑えて最速に復旧できる体制を整えていくのが筋となる。ただ、その備えが不十分なときには「もしかすると交渉が必要になるかもしれない」という覚悟を頭の片隅に置いておくことも必要だ。特に、人の生命や社会基盤に関わるケースの場合は、どうあるべきかを一度考えてみるべきだとした。
もう1つランサム攻撃に特有のポイントとして、被害に遭ったことを公表すべきかどうかの判断がある。LockBit 3.0のような暴露型ランサムウェアに感染してしまうと、自社が感染を公表しなくても、犯人に被害を公開されてしまう可能性は高い。「つまり、犯人側に被害を公表されることは、十分あり得ると想定しなければならなりません。この時代、被害に遭ったことを隠しておくのは難しく、情報がオープンになることは経営的に想定しておく必要があるでしょう」(西本氏)
また、仮に何らかの形で暗号化されたデータの復号キーを入手し、データを復元できた場合も、素直に喜ぶわけにはいかない。「一度人質に取られたデータを復元できたとして、そのデータの完全性は担保できますか、データが改ざんされていないことを保証できますか」と西本氏は述べ、完全性が担保できていなくても復旧することを重視するのか、といった部分も含めて決断を下す必要があるとした。
そして、防犯に対する社会的責任という観点から、ぜひ捜査機関に情報共有を行ってほしいとも呼びかけた。「こうしたことの積み重ねが、新たな被害者を減らすことになります」(西本氏)
もう1つ、ランサム攻撃に限らず、万全の対策を打ったとしても万が一はあり得る。従ってBCPの策定は欠かせない。
実はラックでも先日、基幹システムが全て暗号化されてしまったというシナリオで、BCP訓練を実施したという。「取引先や給与の支払いを最優先し、請求や新規受注は最悪の場合後回しにしなければいけない、会社としての締めの処理も後回しにせざるを得ない、といった事柄を決断していきました」(西本氏)。幸いなことに10月12日という月の半ばにインシデントが発生し、10日間のダウン期間で復旧できるというシナリオでの訓練だったが、もしこれが月末だったら、あるいはダウン期間が月単位になったらと考えただけで頭がくらくらしたという。
「やはり訓練をやってみると、バックアップデータの捉え方を再構築する必要があるなとわれわれ自身も思いました」(西本氏)。半導体不足の中、復旧用のマシンをどう手当てするかといった予想外のポイントも含め、大きな学びがあったという。
常に用心を怠らず、急がば回れで対策を
最後に西本氏は、攻撃側と防御側の差が拡大し、攻撃側が圧倒的に有利な状況の中で、事業の継続を左右するバイタルなデータをしっかり守っておく必要があるとした。具体的には、「サイバーセキュリティだけでなく、レジリエンスを強化する必要があります」(西本氏)
それでなくとも昨今は「VUCA」の時代であり、技術の進化やサプライチェーンの複雑化などが不確実性を加速させている。こうした時代において、レジリエンスの強化は欠かせないと呼びかけた。「ただ、これは効率性や合理性の追求だけではなかなか実現が難しい部分です。これまでとは違ったことを考えていかなければいけないのかもしれません」(西本氏)
今や企業は、狭義の「もの」のサプライチェーンだけでなく、ソフトウェアやシステム運用、事業推進など、さまざまなサプライチェーンに依存している。このため、最近盛んに言われるようになった経済安全保障を含め、考慮すべき事柄は多岐にわたるようになった。同時に、かつてはネットワークから切り離された閉鎖環境で運用されてきたシステムがどんどんつながるようになり、見直しが迫られている。
このように考慮すべき事柄は多岐にわたるが、西本氏は「最大の敵は、『大丈夫だ』と思って安心してしまうことです。時代は常に変化していますので、用心を怠らないこと。これに尽きます」とし、急がば回れで対策をしていくべきだとした。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 調査結果が明らかにした日本企業のCISO不在。リスクを見せる化し、経営視点を取り入れながらコミュニケーションすることで改善を――NRIセキュアテクノロジーズ 足立道拡氏
- セキュリティ担当者が夜しっかり眠れる運用体制とは?――守りのDXで攻めのDXを支えるアステラス製薬の取り組み
- 独自の観測結果から見えてきたランサムの今と、対策のポイント――SBテクノロジー 辻伸弘氏
- 脅威環境の変化を把握し、網羅的・体系的なアセスメントを通じて自社の弱点を発見・改善していくサイバーセキュリティリスク管理が重要――東京海上日動火災保険 黒山康治氏
- ハイブリッド戦争は日本にとっても他人ごとではない――慶應義塾大学 廣瀬陽子教授
- 「今日からセキュリティ担当、よろしくね」と言われたら、何から始める? 何を重視する?――freee CISO 茂岩祐樹氏
- コロナ禍やウクライナ侵攻を背景に混迷深めるサイバー情勢、経営層に必要なのは「現場丸投げ」からの脱却――サイバーディフェンス研究所 名和利男氏
- ウイズコロナ時代のサイバーセキュリティ、完璧を目指すより実践的で高い費用対効果を追求すべき――情報通信研究機構 伊東寛氏
- 「損害保険×ソリューション」の提供で、効率的かつ効果的なサイバーリスク対策を実現――東京海上日動火災保険 教学大介氏
- 増え続けるサイバー犯罪、「完璧」ではなく「現時点最強」で致命傷を避ける備えを――圓窓 澤円氏
- 変化に必要なのはインプットとアウトプットで「いま」という時代をちゃんと知ること――Armoris 取締役専務 CTO 鎌田敬介氏