大規模なサイバーセキュリティインシデントで思うこと
お久しぶりです。
かなり間が空いてしましたが、また少しずつ更新していきます。今回のテーマは、最近起きているマルウェア感染による大規模な情報漏洩事件です。
ここ数ヶ月の間に立て続けに、大規模なサイバーセキュリティインシデントで発生しました。記憶に残るものでは以下の3件です。
事案:
①KADOKAWA
ニコニコ動画サービスや角川の出版に関する内部業務に関係する情報漏洩
②イセトー
受託先であるクボタ、公文及び自治体から預かった情報漏洩
③高野総合会計事務所
顧客先の東京海上日動、イーデザイン及びスルガ銀行等の情報漏洩
上記はいずれもまだ進行中の事案であり、詳細な原因や経緯は明らかになっておりませんが、現在公表されている情報から、以下の問題点が浮かび上がります。(あくまでも、推測です)
課題:
①パッチ適用の不備
マルウェアの多くは、機器の脆弱性を突き、そこを足がかりとして感染を徐々に深め、広げていきます。従って上記事案①及び②の事案では、範囲が広く多くの機器が影響を受けているいることを鑑みると、システム全体として脆弱性への措置、すなわちパッチ適用の運用に何らかの原因があった可能性が推測されます。
②人的なミス
事案②においては、委託業者が通信機器の更新時、設定ミスが要因で不正に内部にアクセスを許し、ランサムウェアによる情報の暗号化と漏洩が発生したとされています。また、事案①及び②において、通常は不正アクセスを防御する通信機器が設置されているのも関わらず、マルウェアの感染を許したなると、不審メールの開封や不審サイトへのアクセス等が、要因となったと推測される。マルウェア等への感染時は、通常ファイルを開いても何も起きない、文章の中身が無い等、不振な挙動を示す場合が多く、これらを見逃し可能性も捨てがたいです。
③監視の甘さ
事案①~③はいずれも被害を受けた機器は複数あるとされ、通常マルウェアは一定時間な内部を探索して徐々に感染を広めていくことを鑑みると、機器やネットワークのログを監視していれば、何らかの痕跡を検出(ログが意図的に消されている等も含め)できた可能性もあります。
サイバー攻撃によるインシデントは、明らかに犯罪であり攻撃者に非があるのは間違いありません。しかしながら、現在のようにIT機器や情報が、人々の生活に欠かせない物になっている以上、事業を提供する側にも、これらを攻撃から守る必要性も高くなっていると言わざるを得ません。従って、経営者としても、このために、人、物、金を投資することは、当然としての責務であり、今回のように大規模な情報漏洩事件を引き起こしてしまった責任は、やはり逃れられないのではないでしょうか。また、事案:②のケースでは、委託業務終了後に、関連する情報を消去したと報告したにも関わらず、残っていて事件を引き起こしたということは、企業のガバナンスが全く機能していないと言えます。また、当該企業がISMSやPマークの認証を取得していることから考えると、このような形式的な確認では不十分で、事業者を選択する場合には、経営者のヒアリングが必須と言わざるを得ません。
以前は事案①〜③のような大企業が狙われる事が多かったのですが、最近は個人は営む店舗のオンラインサイトのようなところまで、マルウェアの被害に遭い、クレジットカード情報等顧客情報の漏洩事件も発生するようになりました。スマートフォンの普及に伴い今や、いつでも、どこでも、誰もがサイバー攻撃の被害に遭うリスクがあります。中小企業では、人、物、金をサイバーセキュリティ対策に注ぎ込むことは難しいとは思いますが、対策を怠った場合、企業としての責任を問われる時代です。上記課題の①〜③の対策を実施すれば、かなり多くのサイバー攻撃の防ぐ事、被害を小さく食い止める事ができます。小規模のシステムであれば、半日〜2日あれば、現状の分析から基本的な対策まで実施可能です。
是非、専門家にご相談ください。