〒186-0002
東京都国立市東2-21-3

TEL : 042-843-0268

製品進化とマネジメント風景 第71話 マルウェアの進化と対応マネジメント

コラム

以前からマルウェアによる被害はありましたが、2022年は初頭から日本を代表する企業であるトヨタの関連会社において被害が報告されました。その後の調査に基づき、ランサムウェアに感染したことが公表されました。

子会社と特定企業との間の専用通信に使用していたリモート接続機器に脆弱性があり、そこを突いて子会社に侵入し、さらにそこから親会社に入ったとされています。

以前のマルウェアは、情報を盗む、ファイルを消去する、制御する機械を暴走させて生産システムを破壊する、あるいは盗んだ情報をネット上に公開する等であり、相手にダメージを負わせる事が主目的でした。

国家間の情報戦の場合もあったかもしれませんが、多くは愉快犯的傾向が強かったと思います。もちろん、盗んだ情報を売っていたかもしれませんが、持続的に回るビジネスになるほどには条件が整っていなかったと思います。

それが、暗号技術の進歩、暗号通貨の普及、マルウェアのクラウドサービス化などにより、匿名でお金のやり取りが可能となり、ランサムウェアという形である種のビジネスとなってしまったため、急速に広まり始めました。

ランサムウェアが広まるパターンは大きく2つあるようです。そのうち、感染の約9割を占めるのが、電子メールに添付されたファイルを開くことを通してマルウェアに感染するパターンです。

電子メール攻撃については、危険なメールを開かずに廃棄すれば問題は生じないのですが、これまでの統計データを概観すると、数パーセントの人は開いてしまうという結果が出ています。

100人の企業ならば、数人の従業員は必ず開いてしまうということです。社内教育をいくら真剣に実施しても、おそらく撲滅は非常に難しいでしょう。いつか、必ず起こると覚悟するしかないと感じます。

電子メールによる感染以外のもう1つのタイプは、いわゆる『水飲み場攻撃』と言われるものです。ウェブサイトで待ち伏せする、かなり凝った攻撃方法です。標的である企業・官庁の人が頻繁にアクセスするウェブサイトを事前に特定し、そのサイトを改ざんし、あるボタンを押すとマルウェアが自動的にダウンロードされるように仕組むものです。大変な労力がかかるやり方なので少数派です。

上記2つは、ユーザーの行為が感染を引き起こすタイプですが、知らないうちに機器の通信ポートから侵入してくるタイプがあります。

ワームと言われるタイプですが、生き物のように、インターネットワークを通じて機器の通信ポートの開閉をチェックし、開いていたらそこから侵入し、入り込むとそこを起点にして繋がっている周辺機器にも広げていきます。この代表はWannaCryですが、私には虫のイメージであり、ワームよりもバグかインセクトの方がピンと来ます。

これらの話を知れば知るほど、怪談を聞くようにぞっとしてきます。ただ、現実世界では、これらがビジネスとして動き出した以上、簡単には止まらないでしょうから、こちらもそれに対抗して備えるしか道はありません。

以下、実際にランサムウェア被害にあった事例を概観します。明日は我が身ですので、他山の石として学習することは意味があると思います。

最初はコロニアルパイプラインの事例です。同様の話は工場の生産システムでも起こりうる話です。攻撃は2021年5月のある日、身の代金要求メッセージが突然現れました。会社は、制御系が乗っ取られる可能性を恐れ、そうなる前に約1万キロメートルに渡る長大なパイプラインを停止しました。完全停止に掛かった時間は僅か15分と言われていますので、Business Contingency Planの1つとして想定されていたのだろうと思います。

その後の調査結果によれば、過去に使用されていたVPNプロファイルと、現在の従業員のID、パスワードを使ってシステムに侵入したとされています。二段認証のシステムにはなっていなかったことが分かっています。ID, パスワードは決してシンプルなものではなかったということなので、侵入者はそれをどこかで入手したということを意味します。

次は、IT管理ソフトウェアを提供するKaseyaの事例です。この攻撃は2021年7月に起こりました。Kaseyaは、Windowsと同様、システムサーバーの脆弱性を修正するためのパッチを適宜発行していたのですが、このパッチがハッキングされ、改ざんされてユーザーにばらまかれました。その結果、世界中で約1500社の企業がランサムウェアによる影響を受けました。

Kaseya社は、Virtual System Administrator(VSA)というサーバーを利用してクライアントにネットワーク上のコンピューターへのリモートコントロールアクセスを提供しています。ハッカーは、VSAサーバーのいくつかの脆弱性を利用してランサムウェアを配布したわけです。

KaseyaのようにIT機器を管理する専門性の高い企業がハッキングされ、情報を改ざんされたということは、Kaseyaを上回る高度なIT専門性を持つ者がこの犯罪に関わったということを意味します。一般の企業の人間では到底太刀打ちできない話である所が大きな問題と言えるでしょう。

このサイバー攻撃については、ロシアを拠点に犯行を重ねるランサムウェアグループが犯行声明を出しました。このグループは7,000万ドルを要求したそうです。被害を受けた企業は直接個別に何らかの身代金を支払ったとの報道もありましたが、Kaseya自身は身代金を支払わずに復号鍵を入手し、復旧しました。これは高いIT専門性を持つ企業だから出来たことであり、一般企業が真似できることではありません。

最後は法律事務所で起こった話です。実際の状況がリアルに描かれているので紹介します。ある日、法律事務所で働いている弁護士が、クライアント企業の担当者と同じメールアドレスを差出人とするメールを受信しました。3日前のやり取りの返信の形であり、添付ファイルの内容確認を依頼する形となっていました。

その弁護士は思い当たる節はなかったのですが、顧客からの依頼だったのでファイルを開いてしまいました。するとその日のうちに、法律事務所の多くのPC、サーバーが次々とロックされ、身の代金を要求するメッセージが出てきたということです。

昔から泥棒に狙われるのは、相対的にセキュリティの弱い所です。大企業は払えるお金を沢山持っているがセキュリティも非常に厳しい。そのため、一段小さいサプライチェーン企業や、さらに規模が小さい法律事務所が狙われるようになってきました。法律事務所の中には大企業と取引している所があり、大企業に入るための入り口としても狙われるのです。

ここからは対策について考えていきます。一般的には、OSのアップデートを迅速せよ、ウイルス防御ソフトやファイアーウォールソフトを装備せよ、個々のPCは外から見えないようにせよ、システムやデータのクリーンなバックアップを持て、などと言われています。

当社も上記の対応は当然していますし、確かにこれらは有効だと思います。いわゆるアンチウイルスソフトによるフルチェックだけでなく、エモテット感染のチェックをするソフトや、空いているポートを確認するソフトなども導入して、適宜、モニターしています。Webにパスワードを記憶させるのも止めました。

そのようにして1つ気付いたのですが、TCPのポートを調べるとListening状態として開いているポートがありました。これは拙いと思ってポートを閉じようとしましたが出来ませんでした。

どういうことかと言うと、Windows Defenderならばポートをクローズする処置を出来ます。しかし、市販されている有力アンチウイルスソフトを導入すると、Windows Defenderはそちらに優先権を与え、ポートの開閉を自身の手では出来なくなっていました。

PCを直接インターネット上に曝すことはしていませんが、それでもポートが開いているのですから少し不安です。まあ、アンチウイルスソフトが、「今日は○件の攻撃を防御しました」という報告をしてきて対応できているので大丈夫なのでしょう。

しかし、これは、あえてポートを開けて攻撃をさせておき、それを防御することで有効性を誇示しているという見方もできます。とは言え、アンチウイルスソフトに頼るしかありません。我々が出来るのは、どのソフトがウイルスの検知率が高いか、メモリーの使用量が多いか、エネルギー消費が高いか等を調べて選ぶくらいです。

このように通信ポートを狙う攻撃にはアンチウイルスソフトが対応してくれるでしょうが、電子メールを用いた標的型攻撃はやっかいです。どんなに教育しても、根絶は難しいと思います。

よって、感染することを前提とした準備をする以外に道はないでしょう。

大企業は、ファイアーウォール型の防御からゼロトラスト型の防御に変わりつつあります。ゼロトラスト型ではAIが不審な通信トラフィックを検知し、自動的に遮断します。いくら厳しくしても問題は残るだろうと思います。

当社のような中小企業は、最善を尽くしつつ、感染を覚悟したBusiness Contingency Planを持つしか選択肢は無いと考えています。具体的には、ネットから切り離し形でデータやシステムのクリーンなバックアップを持つことです。米国では、ランサムウェアで攻撃された病院が多数ありましたが、その多くがクリーンなバックアップを持っていたので、早期に復旧できたと報告されています。

マルウェアを使用した犯罪ビジネスは、ビジネスであるがゆえに費用対効果を検討し、セキュリティの守りが厳しい所ではなく、守りが弱くて支払い能力のある企業、法人、個人を狙います。従来の泥棒と同じです。よって、最もシンプルな戦略は、常に世の中の平均よりも上を目指したセキュリティ対策を打つことです。

従来、企業にとっての情報セキュリティの意味は「信頼を守るためのコスト」だったと思います。防衛産業等の一部を除くと、今もコストだと考えている企業が多いでしょう。

しかし、今後、データが石油に変わる資源になる時代が到来し、さらには無人機が飛び回る時代になるとすれば、情報セキュリティは、コストではなく価値に変わるタイミングが来るのではないかと思います。どういう価値かと言えば、「虚偽ではなく正しいと信頼できる、あるいは心の底から安心できる」という価値です。

逆に言えば、これからの時代は、無条件に信用、信頼できる情報がどんどん減っていくということでもあります。今回はウイルス感染に焦点を絞った話でしたが、今後は、アクセスした情報そのものが「これは本当か?」と自らの頭で判断する力が求められる時代となるでしょう。結構面倒な話となり、AIに頼る人も増えるでしょうから、AIビジネスは確実に伸びると思います。

私はAIビジネスを否定するつもりはなく、使いこなそうとしています。とは言え、前述した面倒な話を自分の頭を使って考えて判断する修練を積んだ人と積まない人とでは、長い間に天と地ほどの判断力の差が生じると考えます。

しばらくはAIが守ってくれるかもしれませんが、考える力が衰えた人は、いずれ間違った情報の犠牲になる確率が高いでしょう。

情報が溢れかえっている今の社会の中で正しい方向を向くには、まずは細部(局所)ではなく大局を見ることが重要です。局所思考、タコツボ思考に陥った見方をしていると騙されるリスクが高まります。

間違った方向に歩き出すと修正が効きません。正しい方向に歩いていれば、あとは細部に注意することにより、多少の寄り道や回り道はあるかもしれませんが、最終的に目的地に到達することが出来ます。

貴社は正しい方向に歩いていますか?