ランサムウェアによる被害を受けて後悔することになる前に
情報セキュリティへの取組みのスタートラインとポイント

合同会社デジタル鑑識研究所 代表中村 健児

2023.01.24

とある地方の工業団地にある、株式会社部品サプライ。自動車部品の製造を請け負う中堅企業だ。
ある朝のこと、若手の社員が出勤すると、そこに会社はなかった。いや、物理的には存在していたが、社内は怒号と鳴り止まない電話の着信音で喧噪を極め、会社としての体をなしていなかったのである。

「制御系も動きません。ライン停止です!」
「TOYOSANから状況報告を求める電話です!」
「マスコミから問い合せが!」

その中心で集中砲火を浴びている総務部長は放心状態で、今の会社の姿そのもののようだった。

その1時間ほど前のこと、いつも早めに出勤する総務部長が自席のノートパソコンを開いた。前日、作業の途中だったこともあり、電源は落とさずにモニタ部分を閉じただけだったのだが、画面を見た部長は目を見開いた。

「なんだこれは?!」

見慣れない画面に、英語のメッセージが表示されている。
「ファイルを暗号化した、身代金を支払え……払わなければ……機密情報を公開する?」
英語が苦手な部長でもなんとか読める英文で書かれた脅迫状だった。
ほかにも、デスクトップのファイルがすべて真っ白なアイコンになり、拡張子が『.ransom』になっている。その一つをダブルクリックしてみたが、なにも起こらなかった。
部長はしばらく画面を見つめていたが、あることを思い出し椅子から飛び上がった。
まさにそのとき、電話の音が鳴り響いた。

「はい、株式会社部品サプライです」
「私、夕日新聞の記者です。失礼ですがお名前と肩書きをいただいてよろしいですか?」
「あ……、総務部長の常滑ですが……」
「総務部長の常滑さんですね。ダークウェブに御社のサーバーをランサムウェアに感染させたという書き込みがありますが、これは事実ですか?」
「え? ランサムウェア? いや、まだ……」

突然の質問に部長は困惑を隠せない。

「詳細は追ってで結構です。事実かどうかだけ教えてください」

記者が追い込む。

「私も今さっき知ったばかりで……」
「ということは事実なんですね!」
「ええ、まあ……」
「わかりました。また電話します」

切れた電話の受話器を置くと、すぐさま電話が鳴った。今度は製品供給先である自動車メーカーのTOYOSANからだった。

「御社からうちのサーバーへの攻撃をEDR*1 が検知しました。何かありましたか?」
「うちから? よくわかりませんが、ランサムウェアに感染したようで……」
「なんですって?! では詳細がわかったら連絡をください!」

TOYOSANの担当者は大慌てで、挨拶もせず電話を切ってしまった。
それから、徐々に社員が出勤してきて大騒ぎになったという訳だ。

イメージ:ウイルス感染で混乱する社内

その日の午前中、ニュース速報が流れた。

【大手自動車メーカーTOYOSANの全工場でライン停止。サプライチェーンのランサムウェア感染で……】

どこかで目にしたことがあるような事件ではないでしょうか。
この例では、ランサムウェア被害に遭った企業が大手企業のサプライチェーンの一部に入っていたために、広い範囲に影響が及んでしまったものです。しかし、サプライチェーンを構成していなくても被害には遭いますし、ランサムウェアの被害は毎日のように発生しています。

この事例での被害者企業、株式会社部品サプライでは、何がよくなかったのでしょうか。
総務部長が放心状態になったということから、おそらくサイバー攻撃を受けたときの計画が作られていなかったのだと想像できます。計画や訓練がなされていないと、有事の際に何をしていいのか分からず放心状態になってしまいます。
では、そうならないためにどうすればいいのかを考えてみましょう。

1 ランサムウェア被害の実態

企業等の事業継続に重大な影響を及ぼすランサムウェアですが、その被害発生実態はどうなっているのでしょうか。
次の図をご覧ください。これは、警察庁が2022年9月に発表した「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」から抜粋した、ランサムウェア被害に遭った企業等の規模による割合です。

グラフ:ランサムウェア被害件数

この図を見ると、ランサムウェア被害の半数以上を中小企業が占めています。「うちは小さい会社だから狙われない」とはいえないことがおわかりいただけるかと思います。一方、国内における大企業の割合は1%にも満たないことを考えると、やはり大企業がターゲットにされているという現実も見えてきます。

さらに、ひとたびランサムウェア被害に遭うと、長期間にわたる事業の停止やシステム復旧等に莫大な費用が発生します。
これも警察庁発表の資料から実際の被害を見てみましょう。

グラフ:被害企業の状況

この図の左側が事業停止期間、右側が調査や復旧に要した費用です。ランサムウェアの被害に遭うと1か月程度は事業が停止するとともに、1,000万円程度の費用損害が発生すると見込むことができます。

2 サイバー攻撃は大地震と同じ

企業が攻撃者にターゲットとしてロックオンされた場合、その攻撃から完全に防御することはほぼ不可能といえます。
例をあげると、2011年に三菱重工業がサイバー攻撃を受け、最新鋭の潜水艦やミサイルといった防衛関連情報を含む情報が外部に流出した可能性が判明しています。国外に目を向けると、2015年に米国の人事管理局(OPM)が不正にアクセスを受け、政府職員の個人情報が流出しています。
最も高度なセキュリティが求められる防衛産業や米国の政府機関ですら、サイバー攻撃の被害を受けて攻撃者の侵入を許してしまうのです。一方、民間企業である大企業はもちろんのこと、セキュリティに潤沢に予算を割けない中小企業が狙われたらひとたまりもないのが実情です。プロローグにあった部品サプライのような悲劇は、いつ、どこの会社に起こってもまったく不思議ではありません。
つまり「サイバー攻撃被害を完全に防ぐことは不可能だ」と考えることが、情報セキュリティへの取組みのスタートラインだということです。

大地震への備え、防災は必要です。しかし、それを完全に防ぐことができるとは誰も考えません。どんなに対策を施しても防ぎきれないことがあるからです。ところが、サイバー攻撃となると「セキュリティを固めれば防げる」とか「うちは狙われないから大丈夫」といった考えに落ち着いてしまい、被害に遭ったときのことから目を逸らしてしまいます。
サイバー攻撃による被害は「防ぐか破られるか」ではなく、「いつやられるか」という時期的な違いでしかありません。
それゆえ、事業継続計画(BCP)*2 の中に、大地震といった「災害」に関する項目が置かれるのと同様に、「サイバー攻撃被害」についても考えておく必要があります。

3 実際の被害からの教訓

2022年4月に内閣サイバーセキュリティセンター(NISC)が発表した資料「サイバー攻撃を受けた組織における対応事例集」の中に、「組織がインシデント経験から得た主な気付きと取組み」が掲載されています。いくつか例をあげてみましょう。

 

 

● サイバー攻撃による経営へのインパクトを理解し、適切な情報提供を受けた上で、トップが納得して意思決定する。
● インシデント対応を他業務より優先することを決定する。
● サイバーセキュリティを考慮したBCPが必要である。
● フォレンジックベンダー等の外部委託先を含む連絡フローをあらかじめ整備する。
● インシデント発生時に的確に行動するために、証拠保全方法などの具体的なインシデント対応訓練を受ける。

NISC「サイバー攻撃を受けた組織における対応事例集」から抜粋
https://www.nisc.go.jp/pdf/policy/inquiry/kokai_jireishu.pdf

  

 

実際にサイバー攻撃を受けた企業自らが振り返った言葉だけに、それぞれに重みが感じられます。
もし、いずれの対策も講じられていないようであれば、これらの言葉を他山の石とすべきではないでしょうか。

4 後悔することになる前に今日からできること

まずは、サイバー攻撃被害を大地震と同じものと考え、BCPの中に対応計画を盛り込んでください。
サイバー攻撃被害が発生すると、被害範囲や原因の特定といった調査を行う必要があります。そういったことを行うのがデジタル鑑識(デジタルフォレンジック)です。デジタル鑑識はセキュリティの括りに入れられることが多い業務ですが、セキュリティとデジタル鑑識は似て非なる技術と知識が必要とされます。
警察でいえば防犯がセキュリティで、鑑識がデジタル鑑識に当たります。どちらも犯罪者の手口や心理を理解しておく必要があるという点では共通しますが、被害を防ぐ活動と証拠を集める活動では必要とされる技術が異なるのは当然です。
社内の人材でデジタル鑑識に当たることができればいいのですが、そこまでの人材を確保することは難しく、外部に委託することとなるでしょう。その際、気をつけていただきたいことがあります。それは、経営層が理解できる言葉で説明できる外部会社を選んで欲しいということです。先に紹介したNISCの資料にも「気付き」として「経営層と現場の橋渡しが重要であり、経営側の聞く力と現場側の伝える力の育成」ということが挙げられています。いくら高い技術力を持っていても、それを経営層が理解できる言葉で伝えられなければ経営層の判断に役立てることができません。

また、先ほどの「フォレンジックベンダー等の外部委託先を含む連絡フローをあらかじめ整備する」という気付きに関してですが、デジタル鑑識事業者はまだ数が少なく、しかもサイバー攻撃被害の増加に伴って依頼が立て込んでいる状況にあり、調査を依頼しても数か月待ちといった事業者もあると聞いています。
そういった中で、我々、合同会社デジタル鑑識研究所は、代表が警視庁で長年にわたりサイバー犯罪捜査を行ってきた経歴を有します。サイバー犯罪捜査では、裁判官や検察官が理解できる言葉で捜査の結果を書面にする必要があります。これを数多くのサイバー事件で行ってきた経験が経営層にも分かる言葉で説明できる力になります。

デジタル鑑識研究所では「DFLメンバー」という会員制度があり、会員になると各種料金が割引になるなどの特典が得られるとともに、インシデントの際の委託先確保を行うことが可能となります。

■DFLメンバーについて(合同会社デジタル鑑識研究所)
 https://dflabo.co.jp/#DFLmember

転ばぬ先の杖としてセキュリティを固めることはとても重要です。ですが、転んでも正しく受け身を取ることでケガを最小限に抑え、すぐに立ち上がることができるように常日頃から備えることも必要不可欠です。
受け身を取る、すぐに立ち上がるといったことを今風に言うと「サイバーレジリエンス」となります。
サイバーレジリエンスを高めて、万が一の際の、早期の事業再開を可能にしましょう。

 

 

<用語について>
*1 EDR(Endpoint Detection and Response):組織内のネットワークに接続されているエンドポイントからログデータを収集し、解析サーバーで相関解析することで、不審な挙動・サイバー攻撃を検知するセキュリティ技術のこと。
*2 BCP(Business Continuity Planning/事業継続計画):企業に自然災害や大事故といった緊急事態が発生したときに、損害を最小限に抑えるとともに、復旧を行い、事業継続するための方法、手段などを取り決めておく計画のこと。

  
Profile
中村 健児
合同会社デジタル鑑識研究所代表
1964年生まれ
1983年に警視庁に入庁。在職中、通信教育で中央大学法学部を卒業。
27歳の最年少で警部補に昇任。要人警護(SP)、経済事犯捜査、サイバー犯罪捜査等を担当する。
警部昇任後、東京都派遣を経て警視庁犯罪抑止対策本部に配属、警察として初めてとなるTwitterの公式アカウントを開設。公的機関としては極めて異例である担当者の個性を前面に押し出す運用により、離任時には15万フォロワーを擁した。絶対に炎上が許されない公的機関であり、なおかつ警視庁という極めて炎上しやすいアカウントであるにもかかわらず、ただの一度も炎上を引き起こさなかったことが自慢の種。
官製アプリとしては異例の30万ダウンロードを記録した防犯アプリ「Digi Police」の開発を行ったほか、特殊詐欺被害防止啓発の一環として、アニメ「けものフレンズ」とのコラボを実現。 中央官庁の広報担当者勉強会でツイッターの運用に関するレクチャーを行う。
2020年警視庁を退職、合同会社フォルクローレ(現:合同会社デジタル鑑識研究所)を設立、同社代表に就任。
サイバー攻撃被害や情報流出事案などの被害の確認と調査などの各種サービスを提供している。

著書『中の人は駐在さん ツイッター警部が明かすプロモーション術』(翔泳社)が2021年7月に発売となるなど、活躍の場を広げている。
中の人は駐在さん

メディア掲載実績
・朝日新聞「ひと」欄
・日本テレビ「NEWS ZERO」
・毎日新聞「ひと」欄 その他多数

 

 ⇒ Websiteはこちら
 ⇒ メールでのお問い合わせはこちら
   お電話はこちら:047-707-3322

一覧に戻る