企業内のコンピューターを使えない状態にし、その復旧のために金を要求する「ランサムウエア」の被害が止まりません。どの企業も被害にあう危険性がある中、専門家からはインターネットで誰でも無料で入手できる「公開情報」を手がかりに自己防衛していくことの重要性が指摘されています。
ランサムウエアは、英語で身代金を意味する「ランサム」と、ソフトウエアを組み合わせた造語です。特殊なコンピューターウイルスが企業内のコンピューターに感染し、内部のデータがすべて暗号化されます。その後、犯罪グループからメッセージが届き、元に戻してほしければ金を払えと、ビットコインなどの暗号資産を要求する犯罪です。
警察庁がことし2月公表した資料によりますと、ランサムウエアの国内の被害は、令和4年は230件となり、前の年より57.5パーセント増えました。特徴的なのが、犯罪集団が、企業恐喝のプロ集団としての様相を見せていることです。情報セキュリティー企業の調査によると、身代金の額として、一年間の経常収益の5パーセントにあたる額を提示する犯罪集団もあるということです。あらかじめ企業の財務状況を把握しておくという計画的な犯罪となっています。
攻撃対象も多岐にわたり、病院などが相次いで被害を受けています。電子カルテが停止したために診療停止に追い込まれています。
どうしてランサムウエアに感染してしまうのでしょうか。侵入経路として最も多くなっているのが「VPN」という装置です。この装置は、自宅などの外部から、会社内のネットワークを利用するための、いわば関所にあたります。新型コロナウイルスの感染防止のために広がったリモートワークでも使われています。
ただ、セキュリティー上の欠陥がある、古いバージョンのソフトが内蔵されているVPNを使い続けていると、その欠陥をついて、ウイルスを送り込まれ、被害にあいます。犯罪グループは、その企業で使われているVPN内部のソフトをネット越しに調査し、標的とするのです。標的となった企業は、古いソフトを使い続けていることを知らなかったケースもあると見られます。
では、標的にならないようにするため、企業は何をするべきでしょうか。それは、犯罪者側と同じような手法で、自分のシステムにぜい弱性があるかどうか調べることです。
近年注目されているのが「OSINT」。オープンソースインテリジェンスという手法です。これは、一般に公開され、誰でも入手できる情報をもとに調査をする手法です。この方法によって、自社のシステムが安全かどうかの手がかりがわかります。
よく知られている方法は「Shodan」と呼ばれるサイトを利用することです。調べたいサイトの欄に、自分の会社のアドレスを入れると、会社のシステムで使われているサーバーの種類が表示されます。セキュリティー上の欠陥がある古いソフトが使われているかもわかります。
このように自己診断することで、外部からサイバー攻撃を受けるリスクがどの程度あるのか、そしてどこを直すべきかの手掛かりがわかります。このようなサイトはほかにも数多くあり、中には従業員の情報がわかるものもあります。
インターネットを使っているすべての企業は、このOSINTを使った自己防衛を、いわばコンピューターシステムの健康診断のつもりで、定期的に行うべきです。また、最近は、材料の仕入先や納入先という取引企業を通じてランサムウエアに感染するケースも見られるため、了解を得た上で、取引先の安全性を調べることも意味があります。OSINTの情報はネットワークに侵入しなくてもわかる範囲のものなので、調査は法的にも問題はありません。
先程のShodanというサイトは、ネットにつながった家電やカメラなどが、外部から勝手に操られる状態になっていないか、確認するという目的で設けられました。ただ、こうしたサイトによる情報収集は、サイバー攻撃を行う犯罪者も悪用していると見られています。このため、OSINTの手法を周知することは、模倣犯を増やしてしまうかもしれないため、隠しておいたほうがいいという意見もあります。しかし、私は違う意見を持っています。
その理由の1つめは、犯罪グループと被害企業との情報格差が広がっていることです。犯罪グループは、さまざまなツールを駆使してあらゆる情報を入手しようとします。一方、標的となる企業が自社のシステムの状態を知らなければ情報格差は開き、犯罪グループがどんどん有利になってしまいます。
2つ目は、思ったよりも多くの内部情報が外部に漏れていることがあることです。例えばGoogleで自分の会社の名前を検索すると、重要システムのパスワードが書かれたシートが見つかる場合もあります。こうした調査もOSINTの一つです。意図せずに、重要な情報をみずから流出させ、それが深刻なサイバー攻撃につながるケースも十分に予想されます。
3つめは、不足している情報セキュリティーの専門家の育成のためです。無料で使えるOSINTサービスは、情報セキュリティーの学習に最適です。外部公開されている情報はどこまでか知ることができます。さらに、こうした情報を悪用しないためのモラル教育のきっかけにもなります。
国内では、情報セキュリティーに関する情報は、犯罪の手法を知ることと誤解されることが多く、具体的な手口などに関する情報を隠す傾向があります。しかし、どの企業も被害にあう危険性がある今、犯罪グループの手口や身を守る方法を知るべきです。振り込め詐欺の手口を周知して注意喚起するのに、サイバー攻撃の注意喚起で手口を隠す必要があるでしょうか。
ただ公開情報を使いこなすためには、それを読み解く力も必要になります。例えば、どのソフトウエアのどのバージョンを使っていると狙われやすいかについては、情報セキュリティーに関する公的機関の情報と照らし合わせる必要があります。
こうした読み解くスキルは、情報セキュリティー企業が、専門家の育成トレーニングとして有料で提供していることが多いです。しかしそれでは、資金的に余裕がない中小企業の人材育成ができず、攻撃を受けた際に取引先である大企業にまで影響が及んでしまいます。社会に大きな影響を与えてしまうことを考えると、サイバー攻撃対策は、それぞれの企業努力、つまり、自己責任にゆだねるべきではないと思います。
少なくとも、無料の公開情報を読み取る初歩的なスキルについては、すべての企業の情報システム担当に共有できるよう、国、情報セキュリティー企業、そして大学などが無料で講座を開いたり、マニュアルを配布したりするなど、これまでよりも積極的にスキルが共有できる仕組みを作っていく必要があると考えます。
インターネットを通じて、さまざまな情報が入手できるようになった今、その情報を犯罪集団に悪用させるだけでは、まったく意味がありません。情報セキュリティーの底上げを全国的に進めていくことが、犯罪集団からサイバー攻撃を仕掛けにくい国として、日本を認識させることにつながっていくのです。
この委員の記事一覧はこちら
