突然、会社のコンピューターが全く利用できなくなり、操業停止に追い込まれる。このような深刻な影響をもたらすサイバー攻撃が相次いでいます。サイバー犯罪グループの目的はカネで、手段を選ぶことなく被害企業を追い込んでいます。産業や医療にも大きな影響が及ぶ中、私たちはその脅威にどう立ち向かって行くべきか考えます。
現在、深刻な被害をもたらしているサイバー攻撃は「ランサムウエア」と呼ばれています。ランサムとは身代金という意味です。特徴的なケースを紹介します。
サイバー犯罪グループはまず、企業内のネットワークに不正アクセスし、コンピューターウイルスを感染させます。このウイルスは、社内の様々なコンピューターに感染を広げ、保存されているデータを流出させてしまいます。さらに社内に残ったデータは勝手に暗号化し、利用できなくします。そのかわりに犯行声明を残します。「データは我々が暗号化した。元に戻してほしかったらビットコインなどの暗号資産で金を支払え」という脅迫文です。
要求額は、日本円に換算すると数億円から数十億円という高額です。業務ができなくなると企業としては困りますので金を払ってでも、復旧させるべきか悩むところです。ただ、企業の多くは、コンピューターシステムの故障などに備えて、日常的にデータをバックアップしているところが多くなっています。これを元に戻せば、金を払わなくても復旧させることが可能です。しかし、犯罪グループは、それを見越して、いわば二重の脅迫をしてきます。「もし、金を払わない場合、あらかじめ奪っておいた機密情報をネットで公開する」というのです。実際に世界中の企業の情報が、ネット上にさらされています。情報は、金を払うまで小出しに公開されるため、それを防ごうと金を払う企業もあります。
ただ、金を払っても、データが復旧できる保証はありません。海外の情報セキュリティー企業が行った調査では、金を払ったケースのうち3分の1が、元には戻らなかったとしています。このため警察は、安易に金を払うという選択をしないように呼び掛けています。
こうしたランサムウエアによる攻撃は、年々増加しています。警察庁のまとめによりますと、去年一年間は国内で146件にのぼり、半年ごとの推移をみると、急激に増えています。このうち54%が中小企業と最も多くなっています。
ランサムウエアの影響は、被害を受けた企業だけにとどまりません。
まず経済と暮らしに影響を与えます。今年3月、トヨタ自動車の工場が操業を停止しました。部品を納入している会社がランサムウエアに感染してシステム障害を引き起こし、取引データがやり取りできなくなったためでした。企業が連携して産業を支えるサプライチェーンにダメージを与えたケースと言えます。アメリカでは、去年5月、アメリカ最大級の石油パイプライン「コロニアル・パイプライン」が攻撃を受けたため、会社は操業停止に追い込まれました。ガソリン不足を心配した大勢の人がスタンドに押し寄せた上、ガソリン価格も値上がりする影響が出ました。
二つ目は医療への影響です。国内だけでも、複数の病院が、感染の被害を受け、電子カルテなどが利用できなくなりました。二か月間診療を停止するケースも出ています。ランサムウエアを感染させた犯罪グループは、人の命を脅かしてでも、金を要求するよう迫っているのです。ランサムウエアの攻撃はコンピューター社会そのものに直接にダメージを与える凶悪な犯罪なのです。
ランサムウエアを使う犯罪グループは、ロシアなど海外に拠点があると見られています。摘発には国際協力が欠かせませんが、拠点があるとみられる国の警察と足並みがそろわないことがあり、簡単ではありません。
そうした中で、私たちが自衛によって被害を無くしていくことはできるでしょうか。不正アクセスを防ぐ装置やソフトなどもありますが、私は、情報セキュリティーに対する人間の意識を変えていくことが最優先だと考えます。
まずは被害を受けた企業が情報公開をしていくことです。ランサムウエアの被害を受けた企業は、顧客情報の流出がない限り、積極的に公表しないことがほとんどです。このため、被害が水面下で増加しているにもかかわらず、身近なリスクとして社会に受け止められていません。これが国内でのサイバー犯罪対策の意識の低さにつながっています。さらに、「どうして被害を受けたのか」、「どのような影響が出たのか」についても、「セキュリティーのことなので言えません」と公表されないことがほとんどです。
しかし、警察庁のまとめによると、原因の74%が、リモートワークで利用される「VPN」や「リモートデスクトップ」というツールが悪用されたことがわかっています。この装置は、自宅などから会社内のネットワークにアクセスするための「関所」に当たり、内部のソフトのバージョンが古いため欠陥が残っていたり、かんたんなパスワードが使われていたりしたため侵入されています。
新型コロナウイルスの感染防止のため、急遽リモートワークを導入する企業が、こうした機器などを利用することになりましたが、同じ手口が使われているということは、情報が共有できれば減らすことができます。被害を受けた企業は、サイバー攻撃を自然災害と同じように位置づけ、社会を守るために積極的な情報公開に踏み切るべきです。
ただ、サイバー攻撃の被害は、「不祥事」のような扱いで公表されることが多く、企業は被害者にも関わらず、取引先や顧客に「おわび」することが目的となっています。できるだけ公表したくないわけで、些細な情報であってもセキュリティーに関係するから公表しないという、理屈の通らない説明が繰り返されています。
原因についての概要を公表したからといって、情報セキュリティーに影響があるはずはありません。サイバー攻撃を受ける危険性がどの企業にもある今、増加しているリスクを減らすために情報公開をするという姿勢に意味があると思います。
それを受け止める私達も、被害企業に謝罪させることを要求するだけでなく、凶悪化するサイバー攻撃をどう防ぐか、そして影響を長引かせないように復旧させる方法について、知恵を出し合うことが必要です。
現在、国は、被害企業の情報公開と共有のガイドラインのとりまとめを目指し、有識者による検討会を開いています。情報公開を義務づけることはできませんが、国には情報公開をしやすくするための方策も求められます。
意識を変えていく方法としてもう一つ必要なのは、各企業がサイバー攻撃を受けた際の事業継続計画・BCPの策定を進めることです。
今の時代、中小企業を含めて、サイバー攻撃の標的となっています。つまり、自然災害と同じように、どの企業であっても突然被害にあう危険性があります。BCPの作成のためには、リスクの洗い出しが必要です。リモートワークに使う装置の安全性の確認やウイルス対策などはどのように行うのかなど、具体的な防御の方法についても、検討するきっかけとするべきです。
サイバー攻撃は、完全に防ぐことができる対策があるわけではありません。しかし、どんな手口や被害が流行しているかを知ることで、リスクをかなり減らすことができます。自分の会社は狙われるわけがないという先入観と、情報セキュリティーに関する秘密主義を取り除くことが、日本全体の情報セキュリティーの底上げにつながっていくと思います。
(三輪 誠司 解説委員)
この委員の記事一覧はこちら
