セキュリティ対策を怠った企業の末路

2018年を皮切りに世界のサイバー攻撃に大きな変化があったことは、読者の皆さんも御存知の通りである。それは紛れもなくランサムウェアを用いて企業のPCやサーバーのファイルを暗号化/奪取することでITインフラを麻痺させ、ファイルの復号化と情報公開の差し止めに対して身代金を要求する「ランサムウェアギャング」の出現である。もしかすると時を経てこの記事を未来の読者が見返す時には「そんなこともあった」と一昔前の事となっている可能性もあるが、事実、専門家である我々からしてみれば、サイバー攻撃の歴史とはこの20年さほど大きく変化があったとは言えない。20年変化がなかったサイバー攻撃にランサムウェアギャングの登場は、大きな波をもたらした。この記事を書いている2024年から少なくとも3～5年、場合によっては10年後も、ランサムウェアや派生したサイバー攻撃の脅威が存在しているであろう。

簡単にサイバー攻撃の歴史を振り返れば、2000年～2009年までというのは、現代ほどに各業界のIT活用や関連する法整備も追いついておらず、ITで管理できるモノも情報もまだまだ限定的であった。それも手伝って、この時期は自己顕示欲の証明や愉快犯的なサイバー攻撃が主流であった。価値の高いモノや情報が未だ「サイバー攻撃の射程」に収まっていなかった時代と言える。もちろん当時から、いや、冷戦以降世界各国の軍や諜報機関、研究機関を始めとして、サイバー攻撃能力を密かに磨き、実践経験を積み重ねてきた歴史も一方で存在することは事実である。ただし、大企業ですらサイバー攻撃の脅威を経営アジェンダとして取り上げる企業は少なく、ましてや中小企業にまでサイバー攻撃の被害が及ぶ時代ではなかった。

2010年～2018年には、企業が積極的にITを活用して業務を改革する、いわゆるDXが推進され始めた。これにより例えば製造業がモノを作る工程にIT制御を多分に取り入れる、これまで紙で扱っていた図面情報などを電子情報として扱うなどの業務プロセスの変化をもたらした。徐々に金融サービスなどの様々なサービスがインターネットに対応し、仮想通貨が誕生するなどますます我々の活動とITは切っても切り離せなくなってきた時代である。企業の知的財産や一般消費者の重要情報を電子情報としてITで管理し始め、経済活動がITに依存し始めたこのあたりから実に様々なモノや情報が「サイバー攻撃の射程」に収まってきたと言える。

これを受けてサイバー攻撃にも変化が起き、ネットバンキングサービスを狙った「バンキングマルウェア」を専門に扱う AngularEK などの著名チームが発足した。この AngularEK は後にランサムウェアギャングのもととなるチームである。その他多くのチームが乱立し、企業が保有する重要情報の奪取やサービスの可用性の喪失を狙ったサイバー攻撃が起き始めた。最も大きな変化は、これらの活動が金になる時代になったということである。これにはDark WebやDeep Webなどの発達も背景にあるがそれはまた、別の記事で記す事となるだろう。簡単に言えばサイバー攻撃などにより違法に入手した企業や個人の重要情報や、サイバー攻撃用のツールなどを匿名性の高いWebサービスと仮想通貨を用いてやり取りできるプラットフォームが揃ったということである。これによりサイバー攻撃は自己主張の手段のみならず、ビジネスへと昇華されたのである。

この頃から本格的に「サイバー攻撃対策」という言葉が大企業の経営アジェンダとして意識される様になった。様々な機関がサイバーセキュリティに関するスタンダードを作り、国際的な枠組みの形成や法改正が実施されたのもこの頃である。サイバー攻撃の脅威を真面目に受け止め、対策との大いなる「いたちごっこ」が始まった。ただし、この頃我が国が大きく読み間違った事がある。それは「自分たちはさほどサイバー攻撃に晒されていないのではないか」と考えたことだ。私を始め多くの専門家が、このことを極めて愚かな誤認であったと考えている。この頃の我が国の風潮は「やられているのは欧米が中心であり日本はやられない」というものであった。果たして「やられていない」と「検知できていない」の差を正しく理解できていた人はどの程度いたのだろうか。

そんな我々専門家の「外れてほしいと思っていた見解」を証明する時代がやってくる。それが2018年以降のサイバー攻撃の世界である。新聞社のWebサイトに有る電子版記事検索機能を使って「サイバー攻撃」「情報漏洩」と検索してみてほしい。私の手元の集計によれば2024年1月1日から執筆時点である12月までの一年間で、新聞社が取り上げる程に著名な企業だけでも70件ほど記事がヒットする。もちろんこれは第一報の数であり続報などは排除している。著名な日本企業が月に5～6社のペースでサイバー攻撃の被害にあっているのである。これを見ても尚「日本はやられない」と一体誰が言えるだろうか。また、「サイバー攻撃」「情報漏洩」を「強盗」や「爆破」と読み替えてみればことの異常さがよく分かるだろう。このような時代となったのには大きく分けて3つの要因が存在する。「ランサムウェアギャングの誕生」「検知技術の向上」「報道機関の関心」である。

冒頭でも触れたランサムウェアギャングは間違いなくサイバー攻撃に革命を起こした。これまでサイバー攻撃というのは「いかに侵入をさとられずに情報を盗み出すか」というのが大前提だった。しかしランサムウェアはコンセプトが全く異なるのである。おさらいであるが、ランサムウェアとは企業のPCやサーバーのファイルを暗号化/奪取することでITインフラを麻痺させ、ファイルの復号化と情報公開の差し止めに対して身代金を要求するためのマルウェアである。つまり、ランサムウェアの大前提は「いかに侵入したことを派手にアピールするか」ということなのである。ランサムウェアに感染するとPCの画面全体に「このPCとネットワークを乗っ取ったぞ。金を払わないと元に戻らないし、奪った情報を全世界に公開してやるぞ」との旨のメッセージが表示され、ランサムウェアギャングが運営するWebサイトに犯行声明まで出される。つまり、いかに検知能力が乏しい、言い換えればどんなにサイバーセキュリティ対策に予算を割いていない企業であっても、被害を認知することが必然となったということである。

また、サイバー攻撃と対策とのいたちごっこの中で、セキュリティ製品の機能も飛躍的に向上した。これには主に米国政府が大統領令などでアメリカ国立標準技術研究所（NIST）にスタンダードを作らせ、それらを事実上の世界標準に仕立てたことが大きく影響している。今後本連載でメインテーマとして取り上げるこのNISTのスタンダードをよく見てみると、これらに準拠するためには米国のセキュリティベンダーが開発販売している製品を導入するのが最もリーズナブルであるように感じるだろう。それこそが米国政府が「サイバーセキュリティで米国が世界をリードする」という目標に向けた強力な一手なのである。このあたりは後々の連載で徐々に記すこととする。兎にも角にも、我が国の企業や政府機関にも米国産のセキュリティ機器が多く導入されるようになり、またSecurity Operation Center（SOC）なども一般的になったことでサイバー攻撃の未然検知件数や被害にあったことを迅速に検出することで認知件数が増加しているということである。

また、もちろん日本企業がサイバー攻撃対策を活発に行うようになったのには日本政府の法整備に対する努力も存在する。ランサムウェアにより病院が機能停止したり、著名なWebサービスが長期間にわたりサービス停止に追い込まれるなど、国民生活にも多大なる影響が出たことから報道機関の関心も集まるようになった。今では各新聞社にサイバーセキュリティ担当が置かれるまでになった。このような背景から「日本はやられない」とは口が避けても言えない状況に陥ったのである。

最後に、私が見たランサムウェア被害のリアルについて記す。技術的な話はさておき、ランサムウェアの被害にあった企業は極めて悲惨な経験をすることとなる。

A社は業界大手の製造業であるが、グループ社員数数万人に対して情報システム担当部署はわずか８名。中でもセキュリティ担当は、他の情報システム業務との兼任で２名という極めて脆弱な体制であった。もちろんセキュリティ担当役員（CISO）は設置していない。CTOとCIOとCOOを兼務する役員がその傍らでセキュリティの面倒も見ていた。それでも大丈夫だと同社が思っていた背景には、あるITベンダーの存在がある。同社の情報システムはほぼすべて当該のITベンダーが設計開発しており、おんぶにだっこ、悪く言えば俗に言うベンダーロックイン状態であった。同社はこのITベンダーにIT関連の経営アジェンダを丸投げしており、セキュリティ対策も一任していた。

そしてある日、突然事件は起こる。同社の主力製品を組み立てる生産ラインが突然停止した。常駐させているITベンダーの担当者が機械の不具合を疑って検査してみるが問題は見当たらない。エラー情報等を集約するモニタリングシステムにも特段のエラーは上がって来ていない。そこで生産ラインを制御しているアプリケーションが稼働しているシステムにログインを試みると、何故か管理者用のアカウントでのログインが拒否された。仕方なくサーバールームに向かい直接コンソールからシステムにログインしてみると、そこには大量の暗号化されたファイルと「ファイルはすべて暗号化した。復号化してほしければ〇〇ドル、仮想通貨で送金しろ」との旨が記載されたテキストファイルが添えられていた。エラーが出ていないのではなく、エラーを送信するシステム事態が機能不全に陥っていたのである。

青ざめた担当者はすぐにITベンダーの上司に相談。ここで、あろうことかITベンダーの上司は担当者に「大変なことになったが、幸い大した身代金じゃない。すぐに内密にことを進めるので身代金を支払うまでなんとか誤魔化せ」と命じたのである。ITベンダーがこうしたのには理由がある。それはService Level Agreement（SLA）と呼ばれる契約に基づき、ITベンダー側のセキュリティ対策の不備などが理由で一定期間システムが停止した場合には損害賠償を支払うという条件である。ほぼすべてのファイルが暗号化されている上に、図面などのデータを扱うU-Planeのみならず、生産ラインの制御を行うプログラムを動かすための構成ファイルなどが存在するC-Planeのファイルも暗号化されていた。こうなればITベンダー側はシステムを最後に取ったバックアップを頼りにほぼ一から作り直すことになる。しかも当該のITベンダーはシステムの大改修をする１年前のバックアップしか保有していなかった。つまりランサムウェアに感染したことが原因であることがA社にバレれば多額の損害賠償を請求される可能性があったのである。ITベンダーは秘密裏に身代金を支払い、システムを復旧させた。A社の担当者には「システムエラー」ということで茶を濁した。

半年ほどが経過した後にA社がITシステムのセキュリティに関する認証を取得することとなり監査官がシステムにアクセスした。その際に何らかの理由で復号化されなかった一部のファイルと、前述した脅迫メッセージが記されたテキストファイルを発見してしまう。不審に思った監査官がA社に「ランサムウェアの被害にあっているかもしれません」と連絡したことでA社は内密にセキュリティの専門企業に調査を依頼。調査レポートには「ランサムウェアへの感染の痕跡と復旧の痕跡を発見。何者かが犯行グループの仮想通貨ウォレットに身代金を支払った履歴をブロックチェーン上で確認」とあった。これによりA社はITベンダーの役員を呼びつけ問いただした。結果、これまでとこれからの付き合いを考え、A社はITベンダーの謝罪を受け入れた。これで一件落着と思われたが、このことを取締役会で社外取締役に伝えた所、ある社外取締役の逆鱗に触れた。この社外取締役は元弁護士であり米国法の専門家でもあった。実は米国ではランサムウェアギャングに身代金を送金する行為は米国財務省の外国資産管理局のいわゆるOFAC規制に抵触する恐れのある行為であり、テロリストへの資金供与と同じ扱いを受けるのである。社外取締役は「やってしまった以上、株主や投資家にも説明責任がある」として、A社は関係各所へ報告を実施した。これを受けて最終的に米国系投資ファンドと数社の日本の機関投資家が一斉に株を売却し投資資金を引き上げた。当然これを聞きつけたメインバンクも怒り心頭であった。諸々の責任を誰かが取る必要があり、前述したCIO兼CTO兼COOの執行役員が解任となった。また、当然米国の規制に違反したため、今後米国系企業との取引は縮小され、投資も受けられずM&Aなどの可能性も極端に制限されることとなる。

この事例では技術的なダメージは軽度であったものの、会社が負った経営上のダメージは計り知れないものである。つまりはランサムウェアギャングに身代金を「支払ってはいけない」とともに「支払いたくても支払えない」状況であることを理解する必要があるのである。これは大企業のみの問題ではない。中小企業であったとしてもサプライチェーンのどこかで米国企業とつながりがある場合には事業継続すらできない事態に陥る可能性がある。そして何より、身代金を支払う以外の方法での復旧というのは困難を極めるのである。焼け野原になったITインフラを立て直すのは、それ相応に備えが必要なのである。

以降の連載では、ランサムウェアのみならず現代の凶悪化したサイバー攻撃に対応するためのサイバーセキュリティの知識を体系的に詳解するとともに、その周辺知識や事例についても記す予定である。サイバー攻撃の被害に遭うということは想像以上に悲惨で、特に中小企業にこそこのメッセージは届けたい。体力のある大企業であればシステムが完全停止しても持ちこたえることができるかもしれないが、月々のキャッシュフローを追う中小企業は間違いなく取り返しのつかない被害がでるだろう。火災保険に入り、消火器は設置するのにサイバーセキュリティ対策を講じないのはなんとも滑稽なことであると思うのである。