日本のサイバーセキュリティは大丈夫か?ランサムウェアにどう立ち向かう?(vol.4)

序章

ここ最近、セキュリティ対策を強化すべく取り組まれている企業が多いのではないでしょうか?

背景には、ロシアのウクライナ侵攻に伴い、世界中でサイバー攻撃が増えていることが挙げられます。経済産業省が日本企業にセキュリティ強化を呼びかける中で、トヨタ自動車に部品を供給する小島プレス工業(愛知県豊田市)がサイバー攻撃を受けたニュースはご存知の方も多いのではないでしょうか?

サプライチェーンの緊密さはトヨタ自動車国内の14工場すべての生産を止めるほどの影響を及ぼしました。一方、日本の国がサイバー攻撃を受けたらどうなるでしょうか?日本の社会、経済はどれだけその攻撃を防ぐことができるでしょうか?本記事ではこの機会に自社のセキュリティ対策を見つめなおし、ランサムウェアなどのサイバー攻撃にどう立ち向かうべきか、考えてみたいと思います。

世界のサイバー攻撃の増加と日本政府の動き

ロシアのウクライナ侵攻は、現代の戦争が情報戦争であることを認識させられます。ウクライナは2014年のロシアによるクリミア併合時、戦う前に電気、通信などのインフラがサイバー攻撃を受けたため、何もできない状況となりました。ウクライナは抵抗ができず、結果として大きな人的被害を受けることはなかったのですが、アッという間にクリミア半島がロシアに占領されました。

それ以来、ウクライナは米国などの力を借りて徹底的にサイバーセキュリティに取り組んできたようです。その結果、ロシアは今回の侵攻でウクライナのサイバーディフェンスを崩せず、支援している国に対して攻撃をかけていると言われています。

ロシアの経済制裁に協力している日本も攻撃対象となり、ランサムウェアによる攻撃やエモテットの感染が増大しています。これを受けて経済産業省、総務省、警察庁、内閣官房サイバーセキュリティセンターはサイバーセキュリティ対策の強化について注意喚起を行っています。

では、日本のサイバーセキュリティのレベルはどれだけ高いのでしょうか?米国からはいまの日本のサイバーセキュリティでは日米同盟で戦えない、と言われるのではないでしょうか。

国としては、ランサムウェアや Emotet(エモテット)と呼ばれる不正プログラムをはじめとして、サイバー攻撃による被害が増加傾向にあることを踏まえ、2022411日、産業サイバーセキュリティ研究会から「サイバーセキュリティ対策についての産業界へのメッセージ」を発出していますしかし実際の対策は企業任せになります。

トヨタ、ブリヂストン、デンソー、富士通、鹿島、カプコン、三菱電機、慶應義塾大学、中日新聞、森永製菓・・・・社名は明かされていませんが、弊社のお客様からの情報では、被害にあっている企業はもっと多いと思われます。

国としては防衛において自衛隊や原子力発電所をはじめ、電気・ガス・水道などの生活インフラに対するセキュリティ強化にまずは力を注ぐことになるでしょう。企業は自らを自らの手で守るしかありません。では、どのような攻撃があり、どのような対策が検討されているのでしょうか?

日本企業への攻撃と対策

情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2022」は以下のとおりです。

順位 組織 昨年順位
1位 ランサムウェアによる被害 1位
2位 標的型攻撃による機密情報の窃取 2位
3位 サプライチェーンの弱点を悪用した攻撃 4位
4位 テレワーク等のニューノーマルな働き方を狙った攻撃 3位
5位 内部不正による情報漏えい 6位
6位 脆弱性対策情報の公開に伴う悪用増加 10位
7位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) NEW
8位 ビジネスメール詐欺による金銭被害 5位
9位 予期せぬIT基盤の障害に伴う業務停止 7位
10位 不注意による情報漏えい等の被害 9位

企業など組織で受けた被害はランサムウェアが1位となっています。ランサムウェアに感染するとコンピュータがロックしたり、ファイルが暗号化されて使用不能となり、元に戻すことを引き換えに身代金を要求されます。いまの時代、コンピュータがなければビジネスを継続することはできません。業務オペレーションが止まってしまうことで損害が大きくなります。では、ランサムウェアの対策にはどのようなものがあるでしょうか?大きく2つあると言われています。

【2つのランサムウェア対策】

  1. 侵入を防ぐ
  2. 侵入後の被害発生を防ぐ

侵入を防ぐためには以下の対応が考えられます。

  • 外部公開しているシステムの脆弱性対応:不要なポートを閉じるなど
  • 標的型攻撃メールを検知してブロック:怪しいメールを除外、添付ファイルを開かないユーザ教育など
  • RDP(リモートデスクトップ)の認証やアクセス範囲の適切な管理:パスワードの多要素認証やアクセス制限

侵入後の被害発生を防ぐには以下の対応が考えられます。

  • 端末上の不審な挙動を監視:EDR対応製品やOSのログ監視など
  • 内部ネットワーク上の不審な活動を監視:不正ログインや複数端末の横断スキャンなどのネットワーク監視
  • 内部ネットワーク上のシステムの脆弱性に素早く対応:AD サーバなどの脆弱性の対応

このような対策のためのセキュリティ製品が多く存在しますが、人に依存する部分が残るため、完全に防ぐことができないのが実状です。

やっかいなランサムウェアにどう立ち向かう?

侵入を防ぐためにできる限りのことをやったとしても侵入経路がWEB、メールの場合、人の対応によっては、それを完全に防ぐことはできません。それならば、と侵入後の被害発生も防ぐ対策が考えられますが、発症した段階では何らかの被害が発生します。

メールにより侵入されても添付ファイルを開かない、もしくは怪しいURLにアクセスしなければ発症しません。しかし精巧なメールもあり、人はついつい添付ファイルを開いたり、URLにアクセスするオペレーションによってランサムウェアを発症させてしまいます。「人によるオペレーション」を制御できたらランサムウェアは発症せず、被害に遭わなくて済むのではないでしょうか?

まとめ

ロシアのウクライナ侵攻に端を発し、サイバー攻撃が増えているいま、自社のセキュリティ対策を棚卸してみてはいかがでしょうか?不要なポートが空いている、サーバのパスワードが脆弱である、多要素認証になっていない、など様々な課題が出てくると思います。

また、社員のセキュリティ教育を徹底するのも必要です。しかし、人依存の教育では完全に防ぐことができず、侵入、感染を防ぐことは非常に困難です。

一方で、よく考えてみてください。コロナウィルスは、いまだに多くの新規感染者がいますが、いまは無症状の患者が多く、深刻な事態には至っていません。コンピュータウィルスも同様に、「感染しても発症しなければ被害は皆無」、なのです。

有効なセキュリティ対策とは感染しても発症しないことになります。この発症させないセキュリティソリューションが必要になります。EDRは感染、発症後に被害の拡大を防ぎ、復旧を早めてくれますが、24時間365日で迅速に対応できる企業は限られるのではないでしょうか?いまの時代、コンピュータなくしてビジネスはできません。被害にあってからでは遅すぎます。損害額は決して安くありません。いま打てる手を考える必要があります。

弊社ではランサムウェア対策やEmotet(エモテット)対策を学びたい方に参考になる資料「ランサムウェア被害・EMOTETの脅威をこっそり学べるガイド」をご用意しています。本資料は企業のセキュリティ強化に向けて必見の資料です。ぜひダウンロードいただき、ご覧ください。