感染に520日気づかず 「サイバー無策」で企業が滅ぶ
感染に520日気づかず 「サイバー無策」で企業が滅ぶ
- 2016/11/1 6:30
「ここから先は特殊なソフトを使わないとアクセスできない。軽い気持ちで訪れると痛い目に遭うぞ」。あるセキュリティー専門家は、記者に対して強い口調で警告した。「ダークウェブには近づくな」と。
インターネット上には、通常の検索エンジン経由では決してたどり着けない領域がある。ダークウェブもその一つ。利用者の身元を秘匿できる「Tor(トーア)」と呼ばれるソフトでアクセスするのが一般的だ。
ダークウェブはもともと、政府の検閲に対抗するジャーナリストなどが利用していたが、今では犯罪者御用達の闇空間という側面が強まっている。
銃や麻薬はもちろん、違法に盗み出された個人情報や偽造カードまで、表の世界では決してお目にかかれない様々な商品がやり取りされている。そんなダークウェブで近年、急速に注目を集めている商品がある。サイバー攻撃に使うための“武器”だ。
「金持ちになりたくないか」
2016年8月上旬、ニコライ(仮名)と名乗る人物がツイッターに書き込んだ。詳しい身元は不明だが、ダークウェブの住人であることは間違いない。書き込みによると、彼が運営する「ギャング」が共犯者を求めている。キャッチフレーズは「手軽にばらまけて管理も簡単」。提供するサービスを使えば、誰でもサイバー空間でカネを稼げるという。
ばらまくのは「ランサムウエア」。“身代金”を意味する新種のウイルスだ。感染したシステムのデータを暗号化して“人質”に取ったうえで、解除料を要求する。2016年に入り被害報告が急増している手法である。
ランサムウエアは企業のシステムに致命的なダメージを与える。感染したパソコンは主要なファイルが暗号化され、起動すらできなくなる。そしてそのパソコンを踏み台にして、ネットワーク経由で感染を拡大。社内システムの重要データを次々と人質にしていく。
仮に経理システムが感染したら、給与や商品代金の支払いが滞ってしまう。部品表が暗号化されて読めなくなれば、生産ラインの停止に直結する。単なる情報漏洩とは異なり、企業の業務が即座にストップしかねない。
データのバックアップを取っていない場合、人質に取られたデータを元に戻すには、暗号の解除キーが必要だ。これを自力で発見するには膨大な時間がかかる。追い込まれた企業は、やむにやまれず身代金を支払うことになる。
ランサムウエアはこれまで、主に英語圏で猛威を振るっていた。ところが2016年に入り、日本企業が“カモ”にされ始めた。
■感染企業の6割が要求に屈する
http://www.nikkei.com/content/pic/20161101/96958A9F889DE2EAEAE3E6EAE3E2E0E4E3E2E0E2E3E4E2E2E2E2E2E2-DSXZZO0881487026102016000000-PN1-9.jpg
日本国内におけるランサムウエア感染被害報告数 トレンドマイクロサポートセンター調べ。国内法人からのランサムウエア感染被害報告件数の推移
トレンドマイクロに寄せられた国内企業の被害報告は、今年上期だけで1500件を突破。前年同期と比べて9倍に増えた。データを暗号化された企業の6割が、犯人の要求に応じたという。
「身代金を支払ってもデータが元に戻る保証は全くない」と、トレンドマイクロの染谷征良・上級セキュリティエバンジェリストは指摘する。それでも被害を表沙汰にするより、内密に処理したがる日本企業が多いため、サイバー空間に巣くう犯罪者たちが味を占めた。その結果、日本向けの攻撃がさらに増えるという悪循環に陥っている。
前述のギャングが提供するのは「RaaS(ランサムウエア・アズ・ア・サービス)」と呼ばれるもの。素人でも“ワンクリック”で攻撃できる手軽さが売りだ。攻撃に必要なのは、相手のメールアドレスだけ。受信者が関心を持ちそうな文面を作成すれば、自動的にランサムウエアを送りつける。外国人でも日本語のメールを送信でき、文法のチェックも受けられる。
ランサムウエアを生成するソフトもダークウェブで売られており、安いものなら1万円程度で入手できる。ネットの闇空間で日々大量に生み出される新種のランサムウエアを、ウイルス対策ソフトが即座に見つけるのは非常に難しい。
ランサムウエアを送りつけたら、あとは不注意な企業の担当者が添付ファイルをクリックし、感染するのを待てばいい。企業がギャングに身代金を払えば、メールアドレスを入力した利用者にその一部が分配される。セキュリティーソフト大手カスペルスキーの川合林太郎社長は「末端構成員が危険を冒して元締めが肥え太るビジネスモデルは、ヤクザと同じ」と話す。
末端構成員が収入を増やすには、より多くのランサムウエアを送りつける必要がある。1週間に50万円以上の身代金を獲得できたらその3割を、100万円以上なら5割を還元するといった報酬体系になっているケースが多い。
ダークウェブへのアクセス手段さえ確保できれば、RaaSを利用するのにプログラミングの技術もITのスキルも必要ない。今やサイバー攻撃は、“サル”でもできるようになったのだ。
ランサムウエア被害が顕在化しているのには理由がある。身代金を支払わせるには、感染したことを企業に知らせる必要があるからだ。
■セキュリティー侵害の発覚に平均1年半
水面下では、全く逆の事態が進展している。ネットの危険情報を収集する社団法人、JPCERTコーディネーションセンターによると、情報流出やウイルス感染の報告件数は2013年に2万9746件に達した。2011年からわずか2年で4倍に増えた計算だ。しかしそれ以降は一転して減少が続き、2015年には2万件割れ。2016年9月までの報告件数も前年同期を下回った。
http://www.nikkei.com/content/pic/20161101/96958A9F889DE2EAEAE3E6EAE3E2E0E4E3E2E0E2E3E4E2E2E2E2E2E2-DSXZZO0881488026102016000000-PN1-9.jpg
サイバーディフェンス研究所の名和利男・上級分析官は「攻撃側の進化に、多くの日本企業は追随できていない」と指摘する。防御能力が高まったので被害が減ったのではなく、単に見つけられないから報告件数が減っているというわけだ。
その象徴が日本年金機構である。昨年、「標的型メール攻撃」を受けて約125万件の個人情報を流出させたが、内閣サイバーセキュリティセンター(NISC)や警察から指摘されるまでそれに気付けなかった。機構職員がメールの添付ファイルを開いてから数日間、ウイルスに感染したパソコンは外部と不正な通信を続けていた。
NISCというチェック機関があるだけ、年金機構はまだましだったと言える。多くの企業では、サイバー攻撃を受けたことも、情報流出が続いていることも把握できないまま、被害が拡大している恐れがある。トレンドマイクロによると、日本企業の4社に1社は既に侵入を許している可能性がある。
海外と比較しても日本企業のガードは甘い。米セキュリティー会社、ファイア・アイがセキュリティー侵害を受けてから発覚するまでの平均日数を調べたところ、全世界平均が146日なのに対し、アジア太平洋地域では520日だった。「日本に限定すると、さらに成績は悪くなる」(ファイア・アイ)
http://www.nikkei.com/content/pic/20161101/96958A9F889DE2EAEAE3E6EAE3E2E0E4E3E2E0E2E3E4E2E2E2E2E2E2-DSXZZO0881489026102016000000-PN1-9.jpg
セキュリティー侵害が発覚するまでの平均日数 米ファイア・アイ調べ
攻撃されたことすら1年以上も気が付かないなら、対策のしようがない。日本企業はサイバーセキュリティーに関し「無策」と言っても過言ではない。
■経営者がセキュリティーの穴に
「役員の感染確率は一般従業員の1.6倍」。こう述べるのは、野村総合研究所子会社のNRIセキュアテクノロジーズの西田助宏サイバーセキュリティ事業開発部長だ。同社は企業向けに毎年、標的型メール攻撃の模擬訓練を実施している。2015年度に実施した訓練では、役員がウイルス感染した添付ファイルを開封した率が20.8%に達し、一般従業員の12.8%を大きく上回った。機密情報に触れる役員ほど、情報の取り扱いには慎重であるべきだが、実態は逆となっている。
http://www.nikkei.com/content/pic/20161101/96958A9F889DE2EAEAE3E6EAE3E2E0E4E3E2E0E2E3E4E2E2E2E2E2E2-DSXZZO0881491026102016000000-PN1-9.jpg
米国では2014年、4000万件のクレジットカード情報を漏洩させた小売り大手ターゲットのCEO(最高経営責任者)が、引責辞任に追い込まれた。この事件が経営者の緊張感を高め、セキュリティー対策が加速した側面がある。対照的にNRIの調査からは、役員ほどリスクに鈍感な日本企業の姿が浮き彫りとなる。
経営者が「サイバー無策」だとどうなるか。反面教師がベンチャー企業、軒先だ。同社は駐車場を「貸したい」人と「借りたい」人を仲介する、シェアリングサービスの旗手として脚光を浴びていた。だがセキュリティー対策を怠った結果、16年7月に利用者全員のクレジットカード情報が漏洩していた可能性が判明し、業務の全面停止に追い込まれた。10月に復旧したものの、売り上げは2カ月以上ほぼゼロだ。西浦明子社長は「経営者として、こうした事態が起こると想定していなかった」と反省する。
ターゲットや軒先のケースは、対岸の火事ではない。ネットを無視して経営できる企業は、もはや存在しない。情報漏洩がベネッセホールディングスやJTBの信頼を失墜させ、業績に影響を及ぼしたのは周知の通り。役員の一人がウイルスメールを開封したら、全社の業務がストップする恐れすらある。次に狙われるのが、あなたの企業でないとは言い切れないのだ。
対象はパソコンやサーバーだけではない。IoT(モノのインターネット)時代、あらゆる機器が狙われている。
[日経ビジネス 2016年10月31日号の記事を再構成]
