依然として猛威を振るう「ランサムウェア」新たな手口も……
楢﨑氏はまず、IPAが発表している「情報セキュリティ10大脅威 2024」の結果を紹介しながら、最新のセキュリティリスクについて解説した。
組織向けのセキュリティリスクは大きく2つに分けられる。1つ目は「内部からの脅威」。2つ目はサイバー攻撃など「外部からの脅威」だ。
内部からの情報漏洩とは、従業員による顧客情報の不正売買、退職者による情報持ち出し、リモートワークのために持ち出した社外秘情報の漏洩や業務用PCの置き忘れ・盗難などだ。楢﨑氏は「情報に価値がある時代だからこそ、同業種へ転職する場合などに“お土産”として営業秘密を持ち出す転職者が増えています。2022年の営業秘密侵害事件は29件で、2013年の約5倍でした」と解説。組織の信用や多額の損失で、事業の根幹を脅かすケースも目立つようになってきたと話す。
一方、外部からの情報漏洩で多いのが、ランサムウェアによる攻撃だ。ランサムウェアとは、組織に侵入後、データを暗号化し、復号と引き換えに身代金を要求するマルウェアのこと。以前は不特定多数に攻撃していたが、今は計画的にターゲットを狙い撃ちする標的型攻撃が多いという。楢﨑氏は「組織に侵入をして過去に取引先などとやり取りしたメールを盗み、それを悪用してウイルスを感染させるメールを作成して開封率を上げたり、第2弾の脅迫としてデータをダークウェブで公開すると脅迫して金銭を要求したりすることもあります」と警鐘を鳴らした。
さらに最近ではランサムウェアを使わずにデータの窃取のみを行い、情報をばらまかれたくなければ身代金の支払いを要求する「ノーウェアランサム」というサイバー攻撃も増加。2023年には約30件の被害が確認されている。
こうした背景には、サイバー攻撃のビジネス化があるという。ダークウェブ上で違法性のある情報やソフトウェアが売買され、ITスキルがない人でも簡単にサイバー攻撃ができるようになってしまった。いまやRaaS(ランサムウェア・アズ・ア・サービス)というビジネスモデルとして確立しているのだ。
楢﨑氏は「クラウドサービスやリモートワークでネットワークへのアクセスポイントが増えたので、攻撃の侵入起点も増え、攻撃者のチャンスも増えています」と注意を促した。
管理者権限での情報の持ち出し/脆弱性をついたサイバー攻撃
続いて、過去の事案をもとに具体的な手口を紹介した。内部不正の例として挙げられたのは、2023年に通信会社の子会社に勤務する元派遣社員が、約900万件の顧客情報を流出させた事案だ。顧客データサーバーへの管理者権限を使って、USBメモリ経由で約10年間データを持ち出し続けた。データを名簿会社に売り、2000万円以上を受け取った疑いがある。
これと手口が酷似しているのが、2013年には通信教育会社で約3500万件の情報持ち出しがあった事案。どちらも管理者権限で接続して外部記憶媒体へ情報をコピーして持ち出している。
外部からの攻撃の例としては、2020年11月の大手ゲーム会社の事案を紹介した。海外拠点で使用していた旧型のVPN装置にランサムウェアが侵入。感染した機器上には攻撃者からのメッセージファイルが残されていたが、コンタクトを拒否したところ、顧客情報や販売予定など最大39万件の情報がダークウェブに流出した。
VPN装置の脆弱性をついた同様の事案は多い。2022年には総合医療センターの委託先のVPN装置がランサムウェアに感染し、院内サーバーに伝染。電子カルテなどが暗号化され、外来診療や各種検査が停止に追い込まれ、復旧には2ヵ月を要した。また2023年には海運ターミナルでVPN装置からランサムウェアに感染し、3日間にわたってコンテナの搬出入が停止している。
なぜ被害は繰り返されるのか? 内部・外部に共通する根本原因
いずれの事案も、過去の事案をもとに対策を行っていれば防げた可能性は高い。なぜ同じような手口による被害が繰り返されてしまうのか。
まず大前提として、サイバー攻撃は「圧倒的に攻撃者が有利な構図」になっていると楢﨑氏は指摘。攻撃者は100回の攻撃のうち1回でも侵入できれば成功だが、組織側は100回防ぎきらなければならない。
しかし、限られた時間や予算の中でリスクをゼロにするのは現実的ではない。それゆえ、「優先的に取り組むべき対策を見極める必要があります」と楢﨑氏。リスクやその影響は組織ごとに異なるため、とりあえずの対策ツールを導入しても、一番高いリスクへの対策になっていなければ本末転倒だ。
また、「守るべき情報資産」が明確化できていないと、被害に遭ったときの影響が広く、大きくなってしまう。一口にデータといっても、チラシと顧客リストでは重要度が違い、「当然、漏洩した際にダメージが大きい情報を優先して守る必要があります」と楢﨑氏は述べた。
組織への影響度や被害の発生確率を予測することで、下図のようにリスクへの対策を大きく4つに分類することができる。楢﨑氏は「組織のリスクを分類していくと、どの優先順位で対策を行っていくべきかが見えてきます」と言い、まずはリスク評価を進めることを呼びかけた。
- リスク転嫁:組織への影響度が高いものの、発生率が低いリスク。組織での対策は講じず、サイバー保険に加入するなど別組織にリスクを担ってもらう
- リスク回避:組織への影響度も発生率も高いリスク。そもそもリスクを背負わなくていいように、発生源を根本から排除する対策を講じる
- リスク受容:組織への影響度も発生率も低いリスク。あえて対策を講じない
- リスク低減:組織への影響度は低いものの、発生率は高いリスク。発生確率をなるべく低減できるような対策を行う
まずはIT資産の把握を 「たった1台でも侵入口になりえる」
楢﨑氏が組織のリスク評価の重要な手段として挙げたのが「IT資産管理」だ。「外部との接触が多いVPN装置はサイバー攻撃のリスクが高いので、強固なセキュリティ対策を講じるなど、資産ごとのリスクを効率的に洗い出せます」とそのメリットを説明。なお、IT資産にはPCやVPN装置など物理的な資産だけでなく、データやソフトウェアも含まれる。
ただ昨今、IT資産を情報システム部門で一元的に管理するのが難しくなっている。スマートフォンやUSBデバイスなどIT資産が多種多様になり、各部署が必要なタイミングで独自に調達することも増えた。特に管理が難しいといわれるのがネットワーク機器で、SIerがシステムメンテナンス目的でVPNを設置するようなケースもある。しかし、「たった1台でも把握漏れがあれば適切な対策が行われず、そこがマルウェアの侵入口となり、サイバー攻撃の被害に遭ってしまう可能性もあります」と楢﨑氏はリスクを指摘する。
内部不正対策には「ログの取得」が有効
内部不正への対策としては、PCの「操作ログの取得」が有効だという。いつ誰がどのPCで何をしたのかをログとして記録しておけば、情報漏洩が起きたときに被害状況や影響範囲を調査しやすい。もちろん外部からのサイバー攻撃時にも原因究明にも活用できる。ただし、ログは取得するだけでは十分とは言えない。そもそも膨大なログデータから目的の情報を見つけるのは難しく、もし見つけられたとしても、前後の操作なども含め、当時の状況が確認できないとリスク評価が難しい。
また、ログの保管期間にも注意。先ほど従業員が10年間データを持ち出し続けた事案を紹介したが、ノーウェアランサムなども業務に支障がないと感染に気付くのが遅れがちだ。時間が経ってから被害が発覚しても詳細な検索を行える環境を整えておく必要がある。
内部と外部の対策をひとまとめに リスクを最小化へ
リスク評価や対策のためには「IT資産管理」と「ログの取得」が有効であると理解しても、実際にはコストや人材がハードルになることもあるだろう。しかし、楢﨑氏は「似たような原因でサイバー攻撃や内部不正が繰り返されているのですから、リスクを放置すると、次に攻撃を受けるのはみなさんの組織かもしれません」と対策の重要性を訴える。
また、IT資産管理やログの取得にはITを活用するのも一手だとし、具体例として同社のクライアント運用管理ソフトウェア「SKYSEA Client View」の機能を紹介した。
まずIT資産管理については、PCへモジュールをインストールすれば、PCの資産情報を自動収集して台帳を作成する機能がある。ハードウェア情報だけでなく、各PCにインストールされているソフトウェア情報も自動で収集するため、更新プログラムの適用漏れや未許可のソフトウェアがインストールされていないかの確認も可能だ。一般的に管理しにくいとされるプリンタやHUBなどのネットワーク機器もIPアドレスやMACアドレスをキーに情報を収集し、同じ台帳で管理できる。
ログについても、15種類のログを収集し、検索しやすいUIも整備。最長10年の保存に対応できる。このほか内部不正を抑止するアラート機能もあり、情報漏洩につながるような操作が行われると、操作ができないように制限したり、注意喚起のメッセージを通知したりする。また、USBメモリなどデバイスへのデータコピーを制限できる機能もある。
最後に楢﨑氏は、総務省の「情報セキュリティマネジメントの実施サイクル(PDCAサイクル)」に触れ、「組織の情報セキュリティポリシーを策定し、実態に沿った内容になっているかを確認し、継続的に見直しや改善を図る」というサイクルの実践が重要だと語った。
そして改めて、「特にサイバー攻撃は常に変化、巧妙化しています」と念を押し、組織のセキュリティ対策の強化や、効果的なソフトウェア導入の検討を呼びかけて講演を締めくくった。
