ランサムウェア感染時に企業が判断すべき“2つのイシュー”
ランサムウェア攻撃の標的とされやすい業種・業態としては、業務停止により人命が危険にさらされる医療機関が特に海外では狙われやすい傾向にあった。一方で、日本国内では製造業が比較的ターゲットにされやすいと話すのは、NRIセキュアテクノロジーズ マネジメントコンサルティング事業本部 リスクマネジメントコンサルティング部 木村匠氏だ。
「製造業の中でも、特に海外に製造・流通拠点を持つグローバルサプライチェーンを構築している企業は、セキュリティ対策が比較的手薄な海外拠点が攻撃を受けてランサムウェアに感染してしまうケースが多く見受けられます。また感染経路としては、リモートワーク用のVPN機器やリモートデスクトップ製品の脆弱性を悪用されるケースが多発しています」(木村氏)
リスクマネジメントコンサルティング部 木村匠氏
日本国内においては、かねてより情報セキュリティ関連機関が一体となって「身代金は支払うべきではない」というメッセージを発信し続けてきており、また前述のようにサイバー保険の補償対象にも含まれていなかったことから、海外と比較すると身代金を支払う企業は相対的に少ないとされてきた。しかし、諸々の事情からやむなく攻撃者側の身代金の支払い要求に応じる企業も、実際には数多く存在する。
この「身代金を支払うべきか、支払わないべきか」の判断は極めてセンシティブなものであり、たとえ切羽詰まった状況に置かれたとしても、決して拙速に行うべきではないと山口氏は強調する。
「ランサムウェアに感染してしまった場合、企業が判断すべき主要なイシューとしては『システムやサービスを止めるべきか』と『身代金を支払うべきか』の2つがあります。この判断をいつ、誰が、どのような権限のもとでどのように行うのかという一連のプロセスを、あらかじめ定めておくことが何よりも重要です。たとえば、ネットワークの遮断などはCIOでも判断できますが、身代金の支払いについてはやはり経営層の判断が必要になってくるでしょう」(山口氏)
また木村氏は、そのための判断基準を検討する際には、「外部の知見」を取り入れることも有効だと指摘する。
「いざというときにすぐ相談できる相手を外部にも用意しておくことが重要だと思います。またJPCERT/CCのサイトでは、被害企業が抱きやすい悩みや疑問についてわかりやすく解説されているので、そうした情報も参考にすることで組織内のコミュニケーションもとりやすくなるでしょう」(木村氏)
最も避けるべき悪手「情報の隠蔽」を防ぐには?
実際に身代金が要求されるランサムウェア感染が発覚した際には、最初に何を行うべきか。山口氏は被害の「局所化」を真っ先に行うべきだと強調する。
「まずは感染した端末やサーバー、感染経路となったネットワーク機器などを隔離・遮断したり、乗っ取られたアカウントを無効化したりして被害を局所化する。これによって横展開を防ぐことが先決です。その上で被害状況を速やかに調査して、現状を正確に把握する必要があります。こうして被害状況を把握できたら、次にその情報を誰に対してどのように伝えるかが重要になってきます」(山口氏)
インシデントが発生した際に最も避けるべき悪手は、「情報の隠蔽」だと言われている。個人情報漏えいが疑われる深刻な状況に陥っているにもかかわらず、現場が被害を隠蔽して正確な情報が経営層に上がってこないと、社外に対して適切な情報発信を行うことができないからだ。その結果、後になってから深刻な情報漏えいが発覚し、企業としての信頼を失墜させてしまうケースがこれまで幾度となく発生してきた。
そのため山口氏は、「インシデント発生の責任を個人に押し付けるのではなく、会社全体の責任としてしっかり対処していくべき」だと指摘。「そのためにも被害状況に関する情報は、経営層を含む各関連部署に速やかにエスカレーションすべきです」と力説する。
また、現場から報告を受けた経営層やCISOは、あらかじめ定めておいたプロセスや判断基準に則って、速やかに行動を起こす必要がある。社内各所への指示とともに、社外の各ステークホルダーに対する報告や、場合によってはプレスリリースや記者会見などを通じて、情報を一般公開する必要も出てくるだろう。
こうした対外的なコミュニケーションが後手に回ってしまったり、不適切なコミュニケーションをとってしまったりすると、企業の信頼失墜や風評被害につながりかねない。このような事態を防ぐために、平時からインシデント発生を想定したシミュレーションを行い、リスクコミュニケーションのプランを練っておくことが重要だと木村氏。
「シミュレーションや訓練も、ごく一般的なリスクのシナリオに沿ったものではリアルさに欠けるため、あまり効果は期待できません。たとえば製造業なら、『この特定のラインが止まってしまったらどう対処するのか?』といった、その企業に特化したリアルなシナリオを用意する必要があります。またリスクコミュニケーションに関しては、警察庁や総務省、NISC、JPCERT/CCなどが中心になって編纂した『サイバー攻撃被害に係る情報の共有・公表ガイダンス』に有用な情報が載っているので、ぜひ参照することをお勧めします」(木村氏)
