企業が今一度見直すべきセキュリティ対策について
アサヒグループホールディングスがランサムウェア被害に遭い、全国でアサヒビールの出荷が止まったことが話題になっています。サイバー攻撃を受けてから一週間が経った10月6日現在、一部の業務は手動対応で再開されているようですが、システム障害からの復旧はまだ目途が立っていないと報じられています。
「サイバー攻撃を受けてから一週間」と書きましたが、正確には、サイバー攻撃を受けたことが判明してから一週間です。実際の攻撃をいつ受けたかは、判っていません。
これより前の段階かでシステムへの侵入があり、その侵入経路から徐々にシステム全体を侵食してランサムウェアが実装されたはずです。犯行グループが身代金要求の準備を十分に整えてから一気にシステムを暗号化したのが一週間前だっただけで、犯行にかけた時間は不明ですが、長い場合は半年ほどかけてじっくりシステムを侵略する場合もあると言われています。
アサヒグループホールディングスは、サイバー攻撃を受けたことを正式に発表すると同時に、「情報漏えいの可能性を示す痕跡が確認された」とも公表しているので、身代金の対価は、暗号化の解除だけでなく、機密情報の保持も含まれているのかもしれません。いわゆる二重脅迫(Double Extortion)です。二重脅迫の場合、犯人はシステム侵入後になるべく重要な情報をなるべく多く抜き取る作業をしていたわけで、侵入がしばらく前だった可能性が高まります。
二重脅迫があれば、三重脅迫(Triple Extortion)もあり得るので、状況の深刻化が危惧されます。つまり、盗み出した機密情報の悪用による顧客や提携先への被害拡大をほのめかして、身代金の要求を強める手口です。
報じられているところによると、アサヒグループが攻撃を受けたのは商品受注・出荷システム「SPIRIT」を中心とした基幹システムで、Active Directory(AD)やvCenter/ESXiの仮想化サーバーが暗号化されたと推定されています。
犯人がそこにたどり着く前に、どこから侵入したかは不明ですが、アサヒグループのような、巨大なサプライチェーンを構成する大企業には、そのネットワーク全体のあらゆる箇所に侵入リスクがあると言わざるを得ません。たとえば、あえて極端な例を挙げれば、業務提携先の一社員が自宅でリモートワーク中にちょっと席を離れ、その間に家族が急ぎの調べ物があって、たまたま開いていたノートパソコンで情報検索してヒットした最初のページを開いたら、マルウェアが自動的にダウンロードされたのかもしれません。
実際には、家族がまちがって悪意あるページを開いたり、リンクをクリックしたりしなくても、社員が通常業務の一環として、同僚や上司からのメールに添付された、当然確認すべきドキュメントを開いたり、リンクをクリックしただけかもしれません。
つまりは「フィッシング」ですが、AIを活用したソーシャルエンジニアリングの発達もあって、フィッシングの巧妙さは日に日に洗練されています。現実に、今回のようなサイバー攻撃の侵入を許してしまう最大の原因は、世界的な調査によれば、ここ数年フィッシングが堂々一位の座を守り続けています。
脅威インテリジェンスリサーチの最大手Cisco Talosの最新レポートによると、フィッシングの75%は、一見うたがいようもない社内連絡や提携先からのメールだそうです。社内システムなどへの偽のログインページが本物そっくりに表示され、騙されてパスワードや多要素認証(MFA)トークンを入力してしまうことがサイバー被害の発端になっているとの調査結果があります。
これを防ぐには、社内教育を徹底して、関係者全員のセキュリティ意識を高めることが重要です。個々のデバイスを頻繁にアップデートし、セキュリティ対策ツールを常に最新にしておくことも重要です。もしマルウェアがどこかに潜んでいるのなら、最新のセキュリティ情報にもとづいて早めに芽を摘まなければなりません。
同時に、個々のユーザーのアクセス権を業務上の必要最低限にとどめる「最小権限の原則(Principle of Least Privilege)」や、社内外を問わずすべてのユーザーやデバイスからのネットワーク接続を一切信用せずに逐一検証する「ゼロトラスト」を徹底することも大事になります。
これらは、サイバー攻撃をなるべく受けないようにするための対策ですが、大企業の巨大システムには大勢のスタッフがアクセスしなければならないので、人的ミスを完全に防ぐことはできません。つまりは、サイバー攻撃を受けてしまった場合の、バックアップとリカバリ体制が日頃から万全に整っていることが大前提となります。
アサヒグループでシステム復旧の目途が立っていないと報じられている理由として、バックアップファイルもサイバー攻撃を受けてしまったのではないかとの指摘があります。真偽のほどは定かではありませんが、バックアップファイルは最後の砦なので、バックアップファイル自体が攻撃を受けることは絶対に避けなければなりません。
そのための対策としては、従来よりバックアップの「3-2-1ルール」が推奨されていますが、それをさらに補強したVeeamの提唱する「3-2-1-1-0ルール」を徹底したいところです。簡単に言うと、バックアップデータを3件、2種類のメディアに保存し、うち1件はオフサイトにする「3-2-1ルール」を以下のようにアップグレードしたのが「3-2-1-1-0ルール」です。
- ルール1:データは3バージョン保管する
- ルール2:保管には2種類以上のメディアを使用する
- ルール3:そのうち1つはオフサイトに保管する
- ルール4:そのうち1つはイミュータブル(変更不可)あるいはオフライン(エアギャップ)にする
- ルール5:リカバリ プロセスを定期的に検証してエラーを0にする
これを徹底することで、最悪の場合でも、ランサムウェアにバックアップファイルまでもが暗号化されることはなくなり、バックアップファイルからの確実なリカバリが保証されます。
アサヒグループで被害が拡大した理由は、昨年のKadokawaグループのケース同様、システム統一で合理化を進めたDXが裏目に出たのではないかという指摘もあります。両社とも仮想化インフラが暗号化されてしまったのが共通点だそうです。
仮にDXが裏目に出たことが事実だとしても、DXによるシステム統合や仮想化に問題があるのでは決してなく、このDXの取り組みにセキュリティ対策が組み込まれていなかった(あるいは重要度が十分でなかった)ことが問題のはずです。
システム開発のベストプラクティスとして、セキュリティ対策は設計段階から組み込まれていなければならないと言われています。DXも同様で、計画段階からセキュリティ対策を最重要課題に位置付け、セキュリティが決して後付けの付け焼き刃にならないようにしなければなりません。
奇しくも、アサヒグループのサイバー被害は自民党の総裁選とタイミングが重なりました。まもなく高市内閣が発足される見込みですが、高市さんはアベノミクスを継承するサナエノミクスを提唱し、「大胆な危機管理投資」をその重要な要素として掲げていると聞きます。近年は、国家ぐるみの政治的なサイバー攻撃も増えています。日本政府や日本企業がDXを推進するうえでは、サイバーセキュリティを重要な柱に据えるべきでしょう。
クライムが提供するランサムウェア対策ソリューションの特集サイトはこちらをご覧ください。
RSSフィードを取得する
