国内外複数拠点への同時多発的なサイバー攻撃
日系大手製造業に対して、2020年6月初旬に国内外複数拠点へ影響をおよぼすランサムウェア被害が同時多発的に発生した。米国の主力工場では3日間の生産停止を余儀なくされ、一部の工場では出荷も停止した。
新型コロナウイルスに伴って発令されていた緊急事態宣言が2020年5月末に解除され、いよいよ本格的な事業再開に向けて取引先を含めた各所が動き出そうとしていた時期を ”狙いすました” かのようでさえある。
被害に遭われた企業では、セキュリティ上の観点から詳しい攻撃の手口について公表を控えるとされているため、本稿でもその実に言及することはしないが、今回のサイバー攻撃に用いられた「ランサムウェア」について少しみていきたい。
ランサムウェアとは感染したサーバやラップトップに保存されているファイルを暗号化して開けなくしてしまい、それらのファイルを取り返したければ身代金(ランサム)を支払うよう要求してくる身代金要求型マルウェアのことである。
苦節30年
ランサムウェアは30年以上前から存在する古典的な手口の一つである。しかし、本格的に用いられるようになったのは2017年頃からだ。当時、ランサムウェア被害に遭われた企業に関する報道で、WannaCry や NotPetya といったランサムウェアの名称をご覧になられた方も多いことだろう。
時期を同じくして暗号通貨などの匿名性高い決済手段が普及してきたことで、悪意ある者たちにとっては身代金の受け渡しで足がつく危険性が下がった。そのため、長らく日の目を見ることのなかった手口が、一気にサイバー犯罪のメインストリームへと躍り出てきたわけである。
当時のランサムウェアでは社内のサーバやラップトップなどに感染すると、そこから社内ネットワークを経由して瞬く間に感染を拡大していく。ものの5分ほどで全滅した企業さえあったほどだ。
ところがここ一年ほどでランサムウェアもその有り様に大きな変化が見られるようになってきた。
感染から即発症し、感染拡大へと発展しているわけではないのだ。
長期間の潜伏
まだ多くの都市が外出制限下にあった2020年5月初旬、ニューヨークの法律事務所でランサムウェアによる被害が発生した。被害に遭ったデータはおよそ1テラバイト。文庫本一冊の情報量を100メガバイトとすれば、実に10,000冊分もの膨大な情報量だ。
これらのデータとは何だったのか? それは、ロバート・デ・ニーロ、エルトン・ジョン、マライア・キャリーなどの電話番号やメールアドレス、個人的なやり取りなどを含むデータであった。
そして、単にこれらのファイルが開けなくなっただけでなく、情報そのものも盗まれてしまっていたのである。
つまり、感染して即発症しファイルを開けなくするのではない。まずは気付かれぬよう息を潜めながら長期間にわたって少しずつ情報を外部に持ち出している。
なぜ長期間にわたって少しずつ持ち出すのかというと、短期間に大量のデータが送出されているとセキュリティ機器などに検知されることもあるからだ。そして、訪れたしかるべきタイミングで発症させ、身代金を要求してくる。発症のタイミングは遠隔操作により悪意ある者が任意で行うようになっている。
同時多発的に発生するランサムウェア被害の多くでは、このような方法が用いられていることが多い。
この事件では暗号化したファイルを取り返すための身代金が支払われない場合、盗んだデータを公開していくと犯人は脅している。
本稿執筆時点でも既にマドンナやクリスティーナ・アギレラらに関する書類がダークウェブで公開されていることが確認されている。
ポスト・コロナのサイバーリスク
ランサムウェアが引き起こすリスクは非常に多岐にわたるものへと進化してきた。従来、ランサムウェアによる被害としては「事業停止リスク」に多くは目を向けてきたが、今はそれだけではない。
ニューヨークの法律事務所での事件のように情報漏洩被害にも発展するし、長期間の潜伏によって社内が盗聴されている状態にもなる。
冒頭の日系大手製造業においても、同社のシステムやセキュリティの状況に合わせて洗練された手口が用いられていたということを考えると、セキュリティを含む社内の情報が筒抜けとなっていたことで被害が拡大したと考えてほぼ間違いないだろう。
そして私たちが注視していかなくてはならないことは、外部からの脅威が日々進化していることだけではない。
新型コロナウイルスの感染拡大に伴い、世界的に在宅勤務の推進やITを活用した取引先などとのやり取りが取られることになった。
つまり、新型コロナウイルス以前の時代と比べても事業そのもののITに対する依存度が幾何級数的に増しているはずだ。そして、万が一ダメージを受けた場合に波及する範囲やインパクトなどの影響も、そのような時代とは比べ物にならないほど大きくなっている。
従来であればランサムウェア被害に備えて、事業継続計画(BCP)の確立によって備えられる場面も多かった。
しかし、サイバーリスクがより複合的なものへと進化しているなかで、対応方法だけでなく復旧までのリードタイムも延びかねない。
いま一度ポスト・コロナのサイバーリスクについて考えてみるタイミングかもしれない。