自社への影響を考え、正しく怖がる
サイバーセキュリティを考える上で、最も大切なこと。蔵本氏は「正しく怖がること」だという。それを認識していれば、様々なリスクが報告され、様々な対策や製品の情報が流れてくるが、その是非が容易に判断できるという。その上で、経営層と話す際に重要なのが「自社のビジネスにどう影響があるのか」ということだ。どんなに「マルウェア感染を防ぐための予算が欲しい」と言われても、経営層は判断ができない。ライバルや同業者などにどのような影響があったか、事例を紹介しながら、ビジネスへの影響を含ませつつ対策を話すことが重要というわけだ。
日本マイクロソフト株式会社 マイクロソフトテクノロジーセンター
セキュリティアーキテクト 蔵本 雄一氏
なお、勘違いとして起こりやすいのが、「標的型メール訓練」や検知率の良い「ウイルス対策ソフト」、重要なファイルを「パスワードで保護」といった施策を優先度の高いセキュリティ対策として考えることだ。たとえば、100通以上標的型メールが来て1通開いた結果、最近のサイバー攻撃では横に展開して1万台のパソコンが感染することになる。つまり、標的型メール訓練で10%開いていたのが1%に減ったとしても、いずれにしても被害は大きく、そもそも1%を0%にすることはまず不可能だ。つまり、1000通に1通通ってしまえば意味がない。つまり「開く前提で考える」ことが必要になるというわけだ。
かつて、攻撃者の目的は自己顕示や技術力の誇示だった。それが近年では金銭目的となっており、フィッシングやランサムウェアなどによって直接的な金銭を得たり、個人情報や技術情報など機密情報を得て現金化したり、様々な形でのマネタイズが行われている。というと「うちはそんな情報はないから大丈夫」という企業もあるが、エンドポイントの遠隔操作権の売買も行われており、犯罪の片棒を担がされる恐れがある。つまり、“踏み台”にされる可能性があるというわけだ。蔵本氏は「被害者になるケースは容易に想像ができる。しかし、加害者として嫌疑をかけられる可能性を忘れてはならない」と語り、さらに「空爆とスナイパー」の例を出して「自分はたいしたことないからスナイパーを雇われる事はない、と思っていたら空爆でやられる可能性がある」と危険性を示唆した。
近年の攻撃者の「金銭欲」について、蔵本氏は興味深い事例を紹介した。マルウェアに感染するとパソコンが使えなくなり、データを元に戻す代わりに金銭を請求するという攻撃を受けたとする。まず、考える時間を与えないように時間が経つごとに金額がどんどん上がるようになっており、さらにビットコインでの支払いを求め、方法が分からない人には懇切丁寧にサポートデスクまで用意されている周到さだ。中にはファイルを戻す“お試し”が用意されていることもある。そこまでして、とにかく金銭を得たい人が加害者として暗躍していることを忘れてはならない。
ランサムウェアによる支払い要求画面。入金のサポートまで行われている。
※画面はTesla Cryptで既にファイルを元に戻す鍵は公開されているが、サンプルとして参考にしてほしい。
出所:日本マイクロソフト株式会社 蔵本 雄一氏 Security Online Day 2016 講演資料より
「今までの対策は、自分たちのネットワークやシステムを“無菌状態”にすることが目的だった。しかし、どんなに無菌状態を作ろうとしても日常生活の中で菌がいなくなることがなく、菌が入ってきても対抗できる力を高めるために体を鍛えたり、薬を飲んだりする。ITセキュリティの世界でも“菌がいるという前提で”対策を考える必要がある」と蔵本氏は強調する。
実際、企業の9割が脅威が侵入済みといわれており、さらに侵入から1年弱は脅威を検出する事が難しく、さらに、特定の企業を狙ったマルウェアの特注品が攻撃に使用される事もあり、マルウェアの検知が非常に難しい。そのため、「侵入前提の対策が必要」という所以だ。
