• 会員限定
  • 2017/06/29 掲載

「ランサムウェア、APT、DDoS、BEC」8割被害、フロスト&サリバン 長竹宏氏が警告

フロスト&サリバン連載 「TechVision:世界を変革するトップ50テクノロジー」

記事をお気に入りリストに登録することができます。
ウェアラブルやIoTが広まるにつれ、サイバー攻撃はあらゆるデバイス・チャネルから発生し得る喫緊の課題となった。最近ではWannaCryをきっかけにサイバーセキュリティに注目が集まり、今まで以上に重要度を増している。フロスト&サリバン ジャパン副社長兼コンサルティング部長の長竹 宏氏は、特に注意すべきサイバー攻撃として、ランサムウェア、APT、DDoS、BECの4つを挙げる。日本企業を取り巻くサイバーセキュリティの現状と、今後の対策を解説する。

フロスト&サリバン ジャパン副社長兼コンサルティング部長 長竹 宏

フロスト&サリバン ジャパン副社長兼コンサルティング部長 長竹 宏

フロスト&サリバン ジャパン副社長兼コンサルティング部長。アジア・北米などを中心に日系企業の海外進出に関するコンサルティングを海外現地で手がけた経験を豊富に有する。現在は日本に在住し、M&Aや海外進出戦略など、日系企業の成長に力点を置いた経営の舵取りに関するアドバイスを継続的に手がけている。

画像
WannaCryをきっかけにサイバーセキュリティに注目が集まったが、企業は何をすればよいのか
(© zephyr_p – Fotolia)



WannaCryによって再認されたサイバー攻撃の脅威

関連記事
 本年5月に世界的な集団感染を引き起こしたWannaCryによって、ランサムウェアという言葉を新たに認識した人もいるかもしれない。 サイバー攻撃や社内の人間の悪意により、個人情報が漏洩したという話題には暇がない。

 一方でWannaCryがビジネス界にもたらした影響は、特定企業の一過性の情報漏洩というレベルではなく、世界に名だたる有名企業(医療機関や鉄道などのインフラを含む)が同時多発的に、数日間にわたり機能不全を起こすという致命的なものであった。

 また、従来は営利を目的としない単なる愉快犯や特定企業に対する営業妨害などが一般的であったが、今回は人質となったデータの復号に対して、身代金(ランサム)としてビットコインを要求するという、営利目的(あるいはそれを擬した)の攻撃だった。

 さらに、これだけ大規模な攻撃だったにもかかわらず、犯人特定に繋がっていない(2017年6月15日時点)という点で、特筆に値する。

 本来サイバー攻撃は、侵入後に速やかにその痕跡を消し、特定を不可能にするアプローチが一般的であるが、ビットコインで被害者に数千万円を振り込ませても、足が付かないようなサイバー攻撃が可能な時代になってしまったということに隔世の感を覚えざるを得ない。

脅威を増す4種類のサイバー攻撃とは

 技術としては必ずしも新しいものではないが、近年における脅威の程度を鑑み、 以下の4種類の攻撃の脅威が高まっているとフロスト&サリバンは考えている。

1. ランサムウェア = 身代金要求型ウイルス
会社または個人のパソコンに悪意のあるマルウェアを感染させ、パソコンを利用できないようにロックしたり、ファイルを暗号化してアクセスを制限する。ロックの解除、ファイルの復元にはパスワードが必要となり、コンピュータまたは内在するデータを人質にしてパスワードを送付する換わりに身代金を要求する手口。

2. APT(Advanced Persistent Threats)=持続的標的型攻撃
特定の会社・組織、個人の情報を狙って行われるサイバー攻撃の一種で、コンピュータシステムへの侵入やその破壊、機密情報の詐取などを目的に行われる。ハッカーによる金銭的な利益よりも、むしろ価値の高い知的財産を狙うケースが多い。

3. DDoS Attack(Distributed Denial of Service Attack)
 =DDoS攻撃

複数のネットワークに分散する多くのクライアントコンピュータから、一斉に大量のデータパケットを送信する攻撃。標的にされたサーバは、通信許容範囲を超えてしまうため、正常に機能できなくなったり、その機能すべてを停止をさせてしまう。

4.BEC (Business Email Compromise)= ビジネスメール詐欺
会社の経営幹部や重要取引先などになりすまして、企業の財務担当または送金決裁権を持つ従業員へメールを送り、送金を促す手口。

8割の企業がランサムウェア、APT、DDoS、BECによる被害を経験

 フロスト&サリバンが日本を含むアジア太平洋地域で300社以上にアンケートを行ったところ、約8割の企業が、過去12ヶ月間に前述した4種類(ランサムウェア、APT、DDoS、BEC)のサイバー攻撃による被害を経験した(4つのうちのどれかではなく、それぞれ個別に)と回答している。

 注目すべきは、ランサムウェアのような金銭的な解決策があるものについて、支払いに応じた企業は回答企業の約5割に上り、そのうち60%程度しかデータの復元はできなかったという事実だ。

画像
過去12ヶ月間のサイバー攻撃被害に関するアンケート結果(2017年)
(出典:フロスト&サリバン)


 前述のWannaCryなどは、支払いを行ってもデータが復元されたという話はほとんど聞かれない。そのため、企業がデータバックアップなどの投資と努力を怠り、リスクが顕在化してから金銭的な解決を図ることは、極めてリスクが高いアプローチといえる。また、中小企業庁の調査によれば、企業が考える事業継続リスクの第2位として、情報セキュリティが挙げられている。

画像
中小企業のリスクマネジメントへの取組に関する調査
(出典:中小企業庁)


【次ページ】北米・ヨーロッパのIT予算で最も高い割合を占める「情報セキュリティ」

関連タグ

あなたの投稿

関連コンテンツ

深刻化する病院サイバー攻撃に、「ランサムウェア交渉人」はアリかナシか?

 どうにも、この記事を書いたライターは映画やドラマ、漫画やアニメ由来のフィクションの知識で述べているようだ。バグバウンティ制度というものはあくまで開発ベンダやセキュリティベンダが任意で実施しているものであって、ベンダによってはバグバウンティ制度を取り入れていないところもある。危険性や重要度に応じて支払う報奨金というものは決まっている。そのため危険性や重要度の低いバグに対しては報奨金の金額は安くなる。支払われる報奨金というのは価格帯が既に定められているので交渉したからといって大きく変わるわけではない。交渉人が出てくる余地がないし、交渉人が仲介手数料なんて取ろうものならば原価割れしてしまうわけだ。そして、バグバウンティ制度を実施していない企業に交渉人が脆弱性情報の買取を持ちかけようものならば、恐喝罪で訴えられる可能性さえある。
「通常は、発見した脆弱性や攻撃手法を自分で利用する(犯罪を犯す)より、相手に高く買ってもらったほうがよいと考える。」と記事では書いてあるが、それも違う。仮に悪意を持ったハッカーが危険な脆弱性を発見した場合、自分でその脆弱性を利用した攻撃をして犯罪を犯すと警察に逮捕されるリスクがある。自分で犯罪さえ行わなければ警察に逮捕されるリスクはゼロだ。だから自分では犯罪は行わない。脆弱性情報を買い取ってくれる企業があればお金で売って利益を得る。ただそれだけなのだ。実際にサイバー犯罪に関わって犯罪収益を得ている反社会組織でも、脆弱性情報の多くは悪意を持ったハッカーではなくセキュリティ会社(=ホワイトハッカー)から買っている。サイバー攻撃自体は自身は行わずに買い取った脆弱性情報をもとに作成した攻撃ツールの販売やクラウド上に攻撃用プラットフォームを構築して時間貸ししてクラウドサービスとして収益を上げている。現代では脆弱性を発見する人、発見者から脆弱性情報を買って収集して販売する人、攻撃ツールを作る人、攻撃ツールを売る人、攻撃ツールを使って攻撃する人といったように各々関係のない人や組織が分業している。
 身代金支払いの是非に関して述べると、現行法では身代金の支払い自体を直接罰する法律はない。それならば身代金を払ってしまえばよい、とはならない。例えば、ランサムウェアならば様々な要素を考慮した上での経営判断が必要となる。以下の理由で正当化が出来るか、ということは最低限考える必要がある。
 1. 復旧コストより身代金の方が安価
 2. 大量の個人情報など機微性の高い情報漏えいのおそれ
 3. 重要インフラサービスの停止のおそれ
 4. 人の生命・身体が害されるおそれ
1.と2.に関しては紛れもなくその場しのぎでしかないのでまともな知性のある経営者であれば経営判断としての身代金払はしない。
3.に関しては微妙な問題なので、細かい分析をした上で社会への影響を考慮した上での経営判断となる。
4.に関しては仕方がない。払うしかない。
 ここで意識していただきたいことは、ランサムウェアの身代金の支払いに対する対応は経営者が判断すべき経営問題そのものである。現場のエンジニアや担当部署の責任者が判断するのではなく、その企業の経営方針として経営者が判断を下すべき経営問題ということだ。
 この記事の2ページ目でしきりに「交渉人」の必要性をしきりにアピールしているが、いい年した大人が妄想と現実を混同するのをいい加減にするべきだ。きっと、この記事を書いたライターの人は交渉人をモデルにした映画かドラマでも見た影響でも受けたのだろう。
 交渉人というのは本質的には犯人の脅迫行為を容認することだけではない。そもそも、犯人側にとって身代金事件の成功の鍵は交渉人が握っている。身代金支払いにより犯人側が犯罪収益を得るための功労者であることから共同正犯(刑法60条)が成立してしまう。つまり、刑法上は身代金を要求してきた犯人グループの一員とみなされてしまうわけだ。
 記事では「ランサムウェア交渉人を運用するためには、警察に犯人を特定、摘発できるくらいのサイバー捜査能力が必須となる。」と書いてあるが、犯人を特定、摘発できるのであれば犯人逮捕とともに暗号鍵も押収できるからから身代金を支払う必要がないではないか。この記事を書いたライターは自身の書いた言葉の意味を理解してこの記事を書いているのだろうか。犯罪を正当なビジネスにしてしまうこと自体が非現実的だし、あまりにも考えが幼稚で虚構と現実を取り違えたような記事を書いている暇があれば、もっと社会の勉強をし直した方が佳いだろう。もし、このライターがジャーナリストの肩書を今後も掲げるつもりならば、この記事のような妄言を書き連ねる前にはよく調査と考察を重ねて自身の考えを遂行する必要がある。今回は半田病院の事件を起点としているので、デジタルフォレンジック研究会の医療分科会が公開している資料の『医療機関向けランサムウェア対応検討ガイダンス』(https://digitalforensic.jp/wp-content/uploads/2021/11/medi-18-gl02_compressed.pdf)を一読して勉強して出直してくることをおすすめする。

    PR

    PR

    PR

処理に失敗しました

人気のタグ

おすすめユーザー

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます