ビジネス化するランサムウェア攻撃の実態
まず長谷川氏は、IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威 2024」を紹介し、9年連続でランサムウェアが組織向け脅威の1位となっていることに触れた。
ランサムウェアに感染すると、端末がロックされたり、データが暗号化されたりして、復旧と引き換えに金銭を要求されたり、「窃取した情報を公開されたくなければ金銭を支払え」と二重脅迫されたりする。企業の重要情報が漏えいすれば社会的信用を失う恐れがあるが、脅迫に従えば経済的損失のリスクが高まってしまう。しかも、「金銭を支払ったからといって、必ずしもデータの復旧や情報の削除が行われるとは限りません」と長谷川氏は注意を促す。
ここで考えたいことが「攻撃者の目的」だ。よくある攻撃の1つは、機密情報や個人情報、クレジットカード情報などの「情報窃取」。もう1つは、DDoS攻撃やランサムウェアによる暗号化などの「業務妨害」である。ただ、それらはいずれも手段にすぎない。攻撃者の真の目的は、その先の「金銭窃取」だ。「彼らにとっては、これはビジネスなのです」と長谷川氏は強調する。当然、ビジネスであれば、あらゆる手段を使って成功させようとするだろう。そのため、「一度標的にされると被害を逃れるのが難しく、お金をかけてセキュリティ対策をしているような大企業でも被害に遭ってしまうのです」と述べた。
ここ数年、各省庁や業界団体からもセキュリティ対策に関する見解やガイドラインが発表されている。長谷川氏は、経済産業省の『サイバーセキュリティ経営ガイドラインVer.3.0』を例に挙げ、「サイバーインシデントによって業務が停止してしまった場合に備え、復旧に向けた手順書を策定することや、対応・体制の整備が重要だと書かれています」と説明。また、このガイドラインはBCP(事業継続計画)と連携させて復旧の目標計画を定めることや、サプライチェーンも含めた実践的な復旧対応の演習の実施も呼びかけている。
このほか、経済産業省や金融庁など複数の省庁が連名で発表した『現下の情勢を踏まえたサイバーセキュリティ対策の強化について』では、「リスク低減のための措置」「インシデントの早期検知」「インシデント発生時の適切な対処・回復」の3点の重要性が示されている。リスク低減の措置とは、マルウェア検知やパスワード変更などだ。ガイドラインを読み込むと、検知と復旧の重要性が強調されて書かれており、「インシデントに遭うこと自体はある程度避けられないという前提で作られている印象です」と長谷川氏は見解を示した。
