日本企業を襲うランサムウェア攻撃。DX加速で増加するサプライチェーン攻撃のリスクと取るべき対策
2022/8/4
PCの重要なデータを暗号化して使用できない状況にした上で、そのデータを復元する対価として身代金を要求するランサムウェア(身代金要求型ウイルス)。近年、このランサムウェアの被害が世界的に増加しています。あらゆる業種でDXが進む今日、どんな企業もサイバーセキュリティの知識は必須です。なぜここ数年でランサムウェアの被害が増えているのか? テレワークが一般化した時代はセキュリティのどんな点に気をつけるべきか? AIを活用した企業向けのサイバー攻撃対策を提供するサイバーリーズン・ジャパン株式会社で社長を務める山野 修氏に、セキュリティのいろはを伺いました。
Contents
ざっくりまとめ
- ランサムウェアとはPCに侵入して重要なデータを暗号化し、身代金を要求する悪意のあるプログラムのこと。従来の「侵入を防ぐ」セキュリティ対策では防ぎきれないため、これからは「侵入を前提にして被害を防ぐ」対策が必要となる。
- 日本語という言語の壁に守られていた日本は、海外からのサイバー攻撃が相対的に少なかった。しかし今後は、自動翻訳技術の向上と企業のDX推進により、攻撃が増加していく可能性がある。
- テレワークが当たり前の時代には、従来の「安全な社内」と「危険な社外」で切り分けるセキュリティ対策には限界がある。どんな状況も信頼しない性悪説に基づいた新しいセキュリティ対策が求められている。
従来のアンチウイルスソフトでは対応しきれない、ランサムウェアの脅威
――昨今のサイバーセキュリティの状況を教えてください。主にどのようなリスクが増加しているのでしょうか?
まず、日本の状況から説明します。日本はアンチウイルスソフトの普及率が高く、企業でもコンシューマーでも100%近い導入が進んでいます。特に企業内ではメールもフィルタリングして、添付ファイルを開くときもサンドボックス(※1)で開いてからダウンロードするなど、高度なセキュリティ体制が敷かれています。しかしそれでも、1/10万くらいの確率で穴を抜けてくるウイルスやマルウェア(※2)が存在します。なかでも多いのが、個々の相手に合わせてカスタマイズされたランサムウェアの被害です。ランサムウェアとは、侵入したPC内のデータを勝手に暗号化してしまい、身代金を要求するプログラムのことです。
※1 サンドボックス:隔離された領域でプログラムを実行することで、問題が発生した場合に、ほかのプログラムに影響を及ぼさないようにする仕組み。
※2 マルウェア:あらゆる種類の悪意のあるソフトウェアの総称。
ランサムウェアは相手に合わせて偽装した形で送られるので、従来のセキュリティでは見逃す危険性があります。侵入されてプログラムを実行した瞬間に隔離しないとその被害を防ぐことはできません。そこで有効なのがサイバーリーズンも提供している「EDR(Endpoint Detection and Response)」という手法です。従来のアンチウイルスソフトは既知の脅威にしか対応できません。すでに知られているウイルスやマルウェアには強いですが、未知の脅威には対応できない。EDRの特徴は、悪意のあるプログラムが行う一連の攻撃をパターン化してデータベース化していることです。侵入されたとしてもハッカーによる攻撃を早い段階で検知し、被害が拡大する前に阻止をする。敵の武器そのものを知っているのではなくて、攻撃手法をナレッジとして持っていることが強みです。
――後手の対応ではなく、侵入したプログラムが怪しい動きを見せた瞬間に反応する先手の対応ということですね。
例えば、PC内で悪意のあるプログラムがバックグラウンドでなんらかのコマンドを入力し始めた場合、従来のアンチウイルスソフトはこのコマンドが無害なのか有害なのか判別できません。しかし、EDRならコマンドを入力し始めた時点で、異常な振る舞いであると察知して対処することができます。
犯罪者が犯罪を犯してから逮捕するのではなく、犯罪をする人間に共通してみられる行動パターンを知っていれば未然の対応が可能です。ちなみに、ラスベガスのカジノにある監視カメラは客やディーラーの体温や脈拍も計測できるそうです。極端に脈拍の多い人物は不正を働く可能性が高いので、その時点でマークされるわけです。侵入対策を強固にするのではなく、侵入は100%防げないことを前提にして被害を未然に防ぐ。それがEDRの考え方です。
――ランサムウェアの被害増加には、どのような背景があるのでしょうか?
ランサムウェアについては「RaaS(Ransomware-as-a-Service)」という言葉が出てきました。かつて、ウイルスをつくるのは悪意のある一個人であり、攻撃自体も本人が行っていましたが、現在ランサムウェアについては分業体制が構築されています。ランサムウェアをつくり出す人物と、どこからか不正に入手した膨大な数のIDとPWのデータベースを持っている人物がいて、ダークウェブ(※3)上でそれらを販売しています。ダークウェブを通して、ランサムウェアのツールとデータベースを購入した人物が実行犯になるわけです。もちろん、ダークウェブ上のやり取りなのでそれぞれ面識はありません。
※3 ダークウェブ:通常のWebとは異なり、匿名性の高い特別なネットワーク上に構築されたWebサイトのこと。
さらに上手く身代金を入手できたら、その引き出し役も別に存在します。実行犯たちはそれぞれ独立しており横のつながりがないので、誰かが摘発されたとしても芋づる式に捕まるリスクがない。身代金も現金ではなくビットコインなどが使われるので、匿名性が高く足がつきにくい。犯罪者からすれば安全性が比較的担保された上で、成功すれば大金が手に入るということで、これからもランサムウェアの被害は増加していくでしょう。
まず、日本の状況から説明します。日本はアンチウイルスソフトの普及率が高く、企業でもコンシューマーでも100%近い導入が進んでいます。特に企業内ではメールもフィルタリングして、添付ファイルを開くときもサンドボックス(※1)で開いてからダウンロードするなど、高度なセキュリティ体制が敷かれています。しかしそれでも、1/10万くらいの確率で穴を抜けてくるウイルスやマルウェア(※2)が存在します。なかでも多いのが、個々の相手に合わせてカスタマイズされたランサムウェアの被害です。ランサムウェアとは、侵入したPC内のデータを勝手に暗号化してしまい、身代金を要求するプログラムのことです。
※1 サンドボックス:隔離された領域でプログラムを実行することで、問題が発生した場合に、ほかのプログラムに影響を及ぼさないようにする仕組み。
※2 マルウェア:あらゆる種類の悪意のあるソフトウェアの総称。
ランサムウェアは相手に合わせて偽装した形で送られるので、従来のセキュリティでは見逃す危険性があります。侵入されてプログラムを実行した瞬間に隔離しないとその被害を防ぐことはできません。そこで有効なのがサイバーリーズンも提供している「EDR(Endpoint Detection and Response)」という手法です。従来のアンチウイルスソフトは既知の脅威にしか対応できません。すでに知られているウイルスやマルウェアには強いですが、未知の脅威には対応できない。EDRの特徴は、悪意のあるプログラムが行う一連の攻撃をパターン化してデータベース化していることです。侵入されたとしてもハッカーによる攻撃を早い段階で検知し、被害が拡大する前に阻止をする。敵の武器そのものを知っているのではなくて、攻撃手法をナレッジとして持っていることが強みです。
――後手の対応ではなく、侵入したプログラムが怪しい動きを見せた瞬間に反応する先手の対応ということですね。
例えば、PC内で悪意のあるプログラムがバックグラウンドでなんらかのコマンドを入力し始めた場合、従来のアンチウイルスソフトはこのコマンドが無害なのか有害なのか判別できません。しかし、EDRならコマンドを入力し始めた時点で、異常な振る舞いであると察知して対処することができます。
犯罪者が犯罪を犯してから逮捕するのではなく、犯罪をする人間に共通してみられる行動パターンを知っていれば未然の対応が可能です。ちなみに、ラスベガスのカジノにある監視カメラは客やディーラーの体温や脈拍も計測できるそうです。極端に脈拍の多い人物は不正を働く可能性が高いので、その時点でマークされるわけです。侵入対策を強固にするのではなく、侵入は100%防げないことを前提にして被害を未然に防ぐ。それがEDRの考え方です。
――ランサムウェアの被害増加には、どのような背景があるのでしょうか?
ランサムウェアについては「RaaS(Ransomware-as-a-Service)」という言葉が出てきました。かつて、ウイルスをつくるのは悪意のある一個人であり、攻撃自体も本人が行っていましたが、現在ランサムウェアについては分業体制が構築されています。ランサムウェアをつくり出す人物と、どこからか不正に入手した膨大な数のIDとPWのデータベースを持っている人物がいて、ダークウェブ(※3)上でそれらを販売しています。ダークウェブを通して、ランサムウェアのツールとデータベースを購入した人物が実行犯になるわけです。もちろん、ダークウェブ上のやり取りなのでそれぞれ面識はありません。
※3 ダークウェブ:通常のWebとは異なり、匿名性の高い特別なネットワーク上に構築されたWebサイトのこと。
さらに上手く身代金を入手できたら、その引き出し役も別に存在します。実行犯たちはそれぞれ独立しており横のつながりがないので、誰かが摘発されたとしても芋づる式に捕まるリスクがない。身代金も現金ではなくビットコインなどが使われるので、匿名性が高く足がつきにくい。犯罪者からすれば安全性が比較的担保された上で、成功すれば大金が手に入るということで、これからもランサムウェアの被害は増加していくでしょう。
自動翻訳技術の向上と企業のDXにより、日本も海外ハッカーからの標的に
――日本企業のセキュリティにはどのような課題がありますか?
これまで日本企業は海外のハッカーたちのターゲットになりにくい状況がありました。それは日本語という言語の壁に守られていたからです。ウイルスをつくる側からすれば、英語のように多くの地域で使われている言語のほうがメリットが大きい。日本の企業を狙うためにわざわざ日本語を学びウイルスをつくろうとする人間は少数派でした。しかし、最近は自動翻訳の技術が向上してマルチランゲージ化が一気に進みました。アジアのなかで考えれば日本はまだまだ経済大国です。そのため、日本企業は新しいターゲットとして狙われる可能性が高いといえます。事実ここ数年で、地方の病院がランサムウェアの被害にあったケースが複数報告されています。
また、日本のサプライチェーンも攻撃対象の一つです。先日も自動車メーカーの取引先がランサムウェアの被害にあって、自動車メーカーは国内すべての工場を停止させました。サプライチェーンには中小企業も多く含まれており、そういった企業は大企業に比べてセキュリティ対策も手薄になりがちです。自動車メーカー本体を狙うのではなく、取引先の中小企業をターゲットにしてサプライチェーン全体にダメージを与える。半導体の部品が一つでもそろわなければ車は組み立てられないので、たった1日の稼働停止が全体に大きな影響を与えてしまいます。完璧な生産体制が構築された日本企業はこの手法にも気をつける必要があります。
――国を挙げてDXを推進している今の状況では、どんな企業もセキュリティ意識を高める必要がありますね。
そうですね。DXとは単に紙をデジタルに置き換えることではなく、業務プロセスも含めてすべてをデジタル化することです。顧客やパートナーとの関係もすべてデジタル化される。しかし、デジタルでつながった瞬間にサイバー攻撃を受けるリスクも発生します。DXの時代にはセキュリティの強化も必須です。
これまで日本企業は海外のハッカーたちのターゲットになりにくい状況がありました。それは日本語という言語の壁に守られていたからです。ウイルスをつくる側からすれば、英語のように多くの地域で使われている言語のほうがメリットが大きい。日本の企業を狙うためにわざわざ日本語を学びウイルスをつくろうとする人間は少数派でした。しかし、最近は自動翻訳の技術が向上してマルチランゲージ化が一気に進みました。アジアのなかで考えれば日本はまだまだ経済大国です。そのため、日本企業は新しいターゲットとして狙われる可能性が高いといえます。事実ここ数年で、地方の病院がランサムウェアの被害にあったケースが複数報告されています。
また、日本のサプライチェーンも攻撃対象の一つです。先日も自動車メーカーの取引先がランサムウェアの被害にあって、自動車メーカーは国内すべての工場を停止させました。サプライチェーンには中小企業も多く含まれており、そういった企業は大企業に比べてセキュリティ対策も手薄になりがちです。自動車メーカー本体を狙うのではなく、取引先の中小企業をターゲットにしてサプライチェーン全体にダメージを与える。半導体の部品が一つでもそろわなければ車は組み立てられないので、たった1日の稼働停止が全体に大きな影響を与えてしまいます。完璧な生産体制が構築された日本企業はこの手法にも気をつける必要があります。
――国を挙げてDXを推進している今の状況では、どんな企業もセキュリティ意識を高める必要がありますね。
そうですね。DXとは単に紙をデジタルに置き換えることではなく、業務プロセスも含めてすべてをデジタル化することです。顧客やパートナーとの関係もすべてデジタル化される。しかし、デジタルでつながった瞬間にサイバー攻撃を受けるリスクも発生します。DXの時代にはセキュリティの強化も必須です。
テレワークの普及をきっかけに、セキュリティ対策のあり方を考える
――テレワークの普及により私物のPCを業務で使用するケースも増えましたが、ここにはどんな問題がありますか?
会社内で会社のPCを使って作業をするなら、ファイアウォールで守られておりWebのアクセスも管理されているので、大きなリスクはありません。しかし、自宅から私物のPCでインターネットにつなぐということは、ファイアウォールもなく、どんなWebにもアクセスできるため当然ウイルス感染のリスクは高まります。個人のPCにもパーソナルファイアウォールがありますが、企業のファイアウォールほどセキュリティは高くないので安心はできません。
私物のPCを使うときは、一度会社が用意したVPN(Virtual Private Network)に入ってから外部のWebにつなぐことを推奨されますが、面倒なのでダイレクトにWebに接続してしまい感染するケースがよくあります。これまでのセキュリティ対策は「安全な社内」と「危険な社外」という具合に境界で切り分けてきましたが、これからは社内外問わずすべての環境を信頼せずにセキュリティ対策を講じる「ゼロトラストセキュリティ」の概念が必要になってくるでしょう。
――では最後に、サイバーリーズンの今後の展望を教えてください。
EDRをさらに進化させた「XDR(Extended Detection and Response)」に注力していきます。XDRはEDRを包含しているもので、ネットワーク機器のログ情報やクラウドにあるアプリケーションのログ情報などを束ねて、より深いセキュリティ監視を可能にします。不正アクセスの被害にあって初めて気がつくのではなく、リアルタイムで監視して不正アクセスの被害前に兆候を見つけて阻止する。すでにEDRは日本一のシェアを持っているサイバーリーズンですが、このEDRの技術をベースにより広範なセキュリティ監視を実現していきます。
会社内で会社のPCを使って作業をするなら、ファイアウォールで守られておりWebのアクセスも管理されているので、大きなリスクはありません。しかし、自宅から私物のPCでインターネットにつなぐということは、ファイアウォールもなく、どんなWebにもアクセスできるため当然ウイルス感染のリスクは高まります。個人のPCにもパーソナルファイアウォールがありますが、企業のファイアウォールほどセキュリティは高くないので安心はできません。
私物のPCを使うときは、一度会社が用意したVPN(Virtual Private Network)に入ってから外部のWebにつなぐことを推奨されますが、面倒なのでダイレクトにWebに接続してしまい感染するケースがよくあります。これまでのセキュリティ対策は「安全な社内」と「危険な社外」という具合に境界で切り分けてきましたが、これからは社内外問わずすべての環境を信頼せずにセキュリティ対策を講じる「ゼロトラストセキュリティ」の概念が必要になってくるでしょう。
――では最後に、サイバーリーズンの今後の展望を教えてください。
EDRをさらに進化させた「XDR(Extended Detection and Response)」に注力していきます。XDRはEDRを包含しているもので、ネットワーク機器のログ情報やクラウドにあるアプリケーションのログ情報などを束ねて、より深いセキュリティ監視を可能にします。不正アクセスの被害にあって初めて気がつくのではなく、リアルタイムで監視して不正アクセスの被害前に兆候を見つけて阻止する。すでにEDRは日本一のシェアを持っているサイバーリーズンですが、このEDRの技術をベースにより広範なセキュリティ監視を実現していきます。
山野 修
サイバーリーズン・ジャパン株式会社 社長
東京工業大学 大学院で制御工学の修士号を取得(1984年)し、スタンフォード大学ビジネススクールでExecutive Programを修了(2001年)。 1984年に米AT&T Bell Laboratoriesでキャリアをスタートし、横河ヒューレット・パッカード、オートデスクを経て、1996年にコンピュータ・アソシエイツの会社設立に参画。1998年には日本RSAに入社し、翌年に社長に就任。その後、12年間RSAセキュリティで社長を務め、2010年よりEMCジャパンで執行役員副社長を経て、同社 代表取締役社長に就任。2016年よりマカフィー 代表取締役社長、2019年よりアカマイ・テクノロジーズ 職務執行者社長を務め、2022年4月よりサイバーリーズン・ジャパン株式会社に入社し、6月に同社の社長に就任。
※経歴に記載の社名は在籍時の名称。
