合同会社デジタル鑑識研究所 代表
2022.03.07
2022年2月24日にロシアがウクライナに侵略を開始しました。そして、本稿執筆時現在も激しい戦闘が続いています。この原稿が掲載されるときには戦争が終結していることを祈りつつ、現在のような情勢下でサイバー脅威にどう立ち向かえばいいのか、また、もしもサイバー攻撃の被害に遭ってしまった場合には、どのように対処すればいいのかという点についてお話をしようと思います。
今年2月に入り急激に勢いを増してきたのがEmotet(エモテット)です。Emotetは、それに感染すると別のマルウェアをダウンロードさせようとするマルウェアです。具体的には、銀行口座のログイン情報を盗み取るバンキング型トロイの木馬、またはランサムウェアをダウンロードさせようとします。その目的は、いずれも金銭です。
Emotetは、主にフィッシングメールを通じて拡散します。メールにはリンクや添付ファイルが付属しています。そのリンクを開いたり、添付ファイルを実行したりすると、そこからマルウェアがダウンロードされ感染します。送り付けられるメールは実在の取引先を装っていたり、本物とほとんど区別がつかない文面であったりするため、現在、多数の被害が発生しています。
ランサムウェアの被害も深刻です。ランサムウェアは、感染した端末のハードディスクなどに記録されているファイルを暗号化します。そして、暗号化を解除するための情報と引き換えに、金銭を支払えと脅迫してくるマルウェアです。つい先日もトヨタのサプライチェーンを構成するメーカーがこれに感染、トヨタの国内全工場が丸一日、すべての生産を停止するという事案があったことは記憶に新しいところです。
また、ランサムウェアは「二重脅迫」という手段を用います。これは、被害に遭った端末の情報を抜き取り、それを公開されたくなければ金銭を支払えと脅してくることです。この要求に応じなかったため機密情報を暴露された例が、大手ゲーム会社のカプコンです。
一方、ロシアがウクライナに侵略を開始してから、国内でロシアの政府機関による攻撃と特定された被害は報告されていません(3月5日現在)。これに対して専門家はどう見ているのでしょうか。アメリカや欧州のセキュリティ専門家は「ロシア連邦軍参謀本部情報総局(GRU)やロシア連邦保安庁(FSB)といった機関の配下でサイバー攻撃を行っているグループが、ここ数週間はウクライナの政府機関やインフラを標的にするだろう」と発言しています。
ロシアの政府機関による攻撃とみられているものに「WhisperGate」と呼ばれるマルウェアがあります。これは、ランサムウェアを装った破壊的なマルウェアです。一見するとランサムウェア被害のようですが、実際にはデータの回復が不可能になっています。これは、今年の2月にウクライナを標的とした攻撃で初めて検出されました。
コンピューターの世界では毎日のように新しい脆弱性が報告されています。セキュリティを固めることは重要ですが、どんなに強固なセキュリティを構築しても、それは「その時点」で強固であったという過去形でしかありません。最新の脅威には無力だということを認識しておく必要があります。
また、さまざまな情報がインターネットを介して、ニュースとして報じられるよりも早く世界中に拡散される時代です。情報の伝達に距離や時間といった概念がなくなったといっていいでしょう。このことは、インターネットを経由したサイバー攻撃にもあてはまります。攻撃者は、いつでもどこからでもどこへでも攻撃をしかけることができるようになりました。遠い国で起きたサイバー攻撃被害は、地図上で何千キロ離れていようが、その距離はまったく意味がないのです。
そして、ロシアによる侵略戦争の戦況次第では、「WhisperGate」などが我が国に向けられる可能性は十分にあります。
つまり、サイバー攻撃に関しては「対岸の火事」として眺めることができなくなっているということです。
ロシアの侵略により緊迫感が高まったかもしれません。ですが、サイバー攻撃者が私たちを標的にする方法は変わっていません。やるべきことは基本をしっかり守ること。これに尽きます。今一度、個人または企業人として家庭と職場の両方をサイバー攻撃から守るための基本を確認しましょう。
多くの場合、これらは電子メールとして送信されますが、SMS、電話、またはソーシャルメディアを介して行うこともできます。
送られてきたメールなどの文面が次のようなものであるときは、特に警戒が必要です。
・危機感を煽り、すぐに行動を起こすように求めている |
フィッシング被害を回避するために次のような対応をすることが望まれます。
・身に覚えのないメールの添付ファイルは開かない |
強力なパスワードは、ネットワーク利用にとどまらず、デジタルライフを保護するための肝です。各アカウントに一意の長いパスワードを設定します。当然ですが、パスワードは長いほど安全です。しかし、そうすることで覚えていることが難しくなります。そのような場合に備えて、パスワードマネージャーを使用して、すべてのパスワードを安全に管理することも一つの方法です。また、可能であれば、重要なアカウントで多要素認証 (MFA:認証の3要素とされるIDやパスワード、秘密の質問といった「知識要素」、SMS認証などによる「所有要素」、指紋や顔認証などを使う「生態要素」のうち、2つ以上の要素によって行う認証のこと) を有効にします。
すべてのコンピューター、デバイス、アプリで自動更新を有効にし、最新の状態に保ちます。攻撃者は、常に端末やソフトウェアの新たな脆弱性を探しています。端末を自動的に更新しておくと、既知の弱点が修正され、端末を常に最新のセキュリティ状態に保つことができます。
先にも述べたように、情報セキュリティを固めることはとても重要なことです。しかし、決してそれが「完全」になることはありません。人為的なミスによるマルウェア感染のリスクもゼロにはできません。いつか必ず、何らかの危機(インシデント)が発生します。危機が発生するリスクを許容できず、防御のみに偏った対策や計画では、いざ危機が発生したときにお手上げとなってしまいます。
ここで特に注意していただきたいことは、人為的なミスによる危機の発生に際した対応です。人為的ミスに対する罰則を設けることでセキュリティ意識を高めようとするのは、得策ではありません。ペナルティを回避しようとして、従業員が報告を上げず事実を隠すようになってしまうからです。危機は、いかに早い段階で認知して対応を取るかが勝負です。
また、被害に遭ったときに取るべき行動は、ここ数年で変わっています。以前は、「すぐに電源を落とせ」といわれていました。たしかに、当時はそれで問題ありませんでした。これまでのサイバー攻撃は、ハードディスクなどに多くの痕跡を残していました。ですから、攻撃を受けた端末の電源を落とせば、必要な証拠がおおむね手に入っていたのです。ところが、近年の攻撃は、元々システムに備わっているツールやコマンドを使い、ハードディスクなどに攻撃の痕跡を残さないものが多くなってきました。
では、このような攻撃の痕跡はどこにあるのでしょうか。答えはメモリー内です。ここで厄介なのは、メモリー内の情報は端末の電源を落とすと、その瞬間に消えてなくなるということです。従来いわれていたように、攻撃を認知したらすぐに電源を落とすという対応をすると、メモリー内にあった攻撃者にむすびつく証拠がすべて消し飛んでしまいます。
コンピューターのOSが土地、その上に建っている建物がメモリー内の情報で、いま、空き巣の被害に遭ったと仮定します。空き巣の被害現場には犯人の指紋や足跡が残っていることでしょう。犯人に特有の侵入や物色といった特徴的な手口も観察できるかもしれません。被害端末を終了させるのは、有形無形の証拠が残っている建物を取り壊して更地に戻してしまうようなものです。
さらに、たとえ電源を落とさなかったとしても、コンピューターが起動している限り絶えずメモリー情報は書き換えられています。なにもしなくても、です。なにもしなくてもメモリー情報が書き換えられている上、何か操作をすればそれだけ多くの情報が書き換えられることになります。これは、空き巣被害に遭った家の戸締まりをやり直したり、家の中を片付けたりしてしまうことと似ています。
現場は証拠の宝庫といわれています。筆者は警視庁で37年間警察官を務めてきましたが、警察学校に入ったときから「現場を変更するな」と繰り返し厳しく指導されました。それほど現場保存が捜査にとって重要で、その初動が捜査の成否を決するからです。
【サイバー被害三則】 |
ですから、被害を確認したときにまずやることは、証拠が残っている状態、つまり電源が入った状態のままネットワークから切り離して被害の拡大を防ぐことです。次に、できるだけ操作をせず、後述するデジタル鑑識の専門家に依頼することが、最も有力な証拠保全方法だといえます。
マルウェアに感染すると、どのような事態に発展するのでしょうか。
Emotetの場合、感染元から取引先などに大量のフィッシングメールが送信されます。そして、場合によってはそのメールを受信した取引先にも感染を広げることになります。ランサムウェアの場合、ハードディスクなどに記録されている情報を犯人側に送信する機能を持っているため、機密情報や顧客情報などが漏洩したり、暗号化により事業が停止するといった事態に発展します。
このような事態に発展すると、IPA(独立行政法人 情報処理推進機構)やJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)、個人情報保護委員会といった機関への届出が必要になるほか、警察への相談、または被害届の提出も考えなければなりません。さらには、取引先や株主など関係者への説明、報道発表といった説明責任を果たす義務も生じます。それに加えて、情報が流出した個人への謝罪と賠償が必要となる場合もあります。具体的な被害を列挙すると次のようになります。
金銭の喪失 |
取引先や顧客等への損害賠償 |
事故対応費用 |
|
顧客の喪失 |
社会的評価の低下 |
競合商品・サービスへの顧客の流出 |
|
得意先からの受注停止 |
|
事業継続の阻害 |
納期遅れ |
営業機会損失 |
|
社内のモラル・士気の低下 |
ある試算によると、大規模なランサムウェア被害の場合、1件あたりの損害額は3億7,600万円にのぼるとされています。(NPO日本ネットワークセキュリティ協会(JNSA)「インシデント損害額調査レポート2021」による)
関係者への説明や報道発表を行うためには、起こった事象を正確に把握しなければなりません。いつ、何があって、どれだけの情報が漏れたのか、原因は何か、今後の対応はどうするのかなど把握すべき事項が山ほどあります。
これらの調査を行うのが「デジタル鑑識」(デジタル・フォレンジック)です。デジタルデータは目に見えません。その目に見えない証拠を科学的に可視化するのがデジタル鑑識です。
サイバー被害や人為的なマルウェア感染などが発生したときのデジタル鑑識は、公正性を担保するため第三者機関に依頼します。社内調査で済ませてしまうと、たとえその結果が正しかったとしても「身内の調査で都合が悪いことを隠しているのではないか」と疑われることがあるからです。
余談になりますが、デジタル鑑識が活動する場面は、攻撃の被害に遭ったときだけではありません。内部不正が疑われる場合の調査がそれです。
内部不正にも多くの種類があります。デジタル鑑識が活用される内部不正の態様には次のようなものがあります。
横領 / 営業秘密の漏洩(いわゆる産業スパイ) / コンプライアンス違反(SNSへの不適切な投稿など) / 情報資産の消去又は破壊 |
これらの不正行為に関する証拠を保全するためにデジタル鑑識が行われます。具体的には、以下のような作業を行い、いつ、誰が、何を、どうしたのかを特定します。
・消去されたファイルの復元 ・ログインやネットワーク利用記録の抽出 ・端末に差し込まれたUSBメモリの特定とそれにより持ち出されたファイルの特定 ・Web閲覧履歴と検索ワードの抽出 ・すべてのファイルのタイムスタンプにもとづく時系列作成 |
デジタル鑑識では、このような情報を可視化します。その端末で誰が何をしていたのかがほぼすべて把握できてしまいます。つまり、業務用の端末でよからぬことをすると、必ずばれるということです。
ただし、ひとつご注意いただきたいことがあります。デジタル鑑識を外部に委託すると、社内の機密情報やセキュリティの弱いところを委託先に見せることになるということです。委託先を選ぶときは、限られた時間のなかであっても、信用のおける事業者であることを吟味することを忘れないでください。
なお、合同会社デジタル鑑識研究所は、警視庁でサイバー犯罪捜査の指導を行っていた元警察官が代表です。確かな技術力に加え、証拠に忠実で客観的な判断や厳格な規律と秘密の保持が徹底されていることが特徴となっており、弁護士の法律業務支援、あるいは高度な機密情報を扱う案件に適したデジタル鑑識事業者です。
皆様が所属する企業が被害に遭わないことを心から願いつつ、もし万が一の際、サイバー攻撃やマルウェア感染、情報流出、内部不正といったインシデントでお困りでしたら、弊社にご相談いただければと思います。
⇒ Websiteはこちら