「ランサムウェアに対する各国の声明まとめ&日本との関連について」
ここ数か月にわたって、米国では大規模組織に向けた様々なサイバー攻撃が相次いで発生しています。
例えば2021年5月7日に発覚した米国大手の石油パイプライン会社コロニアルパイプラインがランサムウェアグループ「DARKSIDE」の攻撃により、5日間操業停止となった事件が皆さんの記憶にも大きく残っているかと思います。これは日本でも大きく報じられ、ランサムウェアがインフラ企業に与える影響を強く印象付けました。
その他、2021年5月31日には世界最大級の食品加工メーカJBS(拠点はブラジル)がサイバー攻撃を受け、北米とオーストラリアのサーバに影響が出たり、遡れば2020年にはSolarWindsの脆弱性の悪用により米国の多くの民間企業がサイバー攻撃にあったりもしています。
このような背景から、6月に入ってからの米国の声明やG7、バイデン米大統領とプーチン露大統領との協議などでサイバー攻撃が大きく取り上げられました。
本文ではこれらの結果の紹介をした後、日本の現状を比較してどれほどギャップがあるのか、考察してみます。
1.アメリカからの声明
コロニアルパイプラインへのランサムウェア被害では民間と軍部の双方に大きな影響を与えることも相まって、被害直後からFBIが捜査に加わっており、結果的に支払った身代金の一部(ビットコイン)を押収することができたと報じられています。
秘匿性の高い暗号通貨を押収、ひいてはどのように秘密鍵を入手したのかも気になるところではありますが、ここでは、このようなランサムウェアの捜査に対しての米国司法省の発言に注目します。
2021年6月3日、ロイターが入手した情報*1によると、米国司法省がランサムウェアの捜査を行う際には優先度をテロ行為と同じレベルにする、としています。
コロニアルパイプラインの件を受け、ランサムウェアが国家の安全を脅かす重大なサイバー攻撃であるという認識が米国でも強く持たれたことが伺えます。
また、同日に、コロニアルパイプラインとJBSの件を受けて、ホワイトハウスからも民間企業に向けてランサムウェア攻撃からの保護能力を強化するように警告されています*2。
つまり、米国としてはランサムウェアに重点的に対処する姿勢を整えつつあると言えます。
2.G7からの声明
2021年6月11日から6月13日に、コーンウォール(イングランド)にて、G7サミットが開催されました*3。
時勢が時勢なだけに、取り上げられた話題はCOVID-19からの世界の回復や経済復興などが主でしたが、成果文書内のG7首脳コミュニケ(声明書)の中には、米国が受けたサイバー攻撃の事情を顧みてか、ランサムウェアに関するトピックが幾つかありました。
内容としては、主に以下の2点。
- ランサムウェアに対抗するために各国が協働すること、また全ての国に対して自国で活動するランサムウェアグループを特定・分断することを求め、その行動に対する責任を問うように求める
- ロシア国内でランサムウェア攻撃を行い身代金要求をするサイバー犯罪者を特定、活動停止をし、責任を問うように求める。
注目すべき点として、今までの成果文書内でもサイバー攻撃に類する単語は使用されてきましたが、サイバー攻撃のカテゴリの一つであった「ランサムウェア」に特定して言及をした例は過去に見ないです。
これは、米国はもちろんですが各国でもランサムウェアに対する脅威を強く認識していることが伺えます。この声明に対して、日本では今後どう対応していくのか気になるところです。
3.バイデン米大統領とプーチン露大統領との協議
2021年6月16日に、バイデン氏が米大統領として就任して以来初、プーチン露大統領と直接対面して協議をする場が設けられ、サイバーセキュリティのトピックも大きく取り上げました*4。
協議後の各氏の会見から、特にインフラに対してのサイバー攻撃に対する理解を深める取り組みを両国ともに進めることで同意し、これからも協議していくとしています。
また、各国内から他国に対するサイバー攻撃に関して各国の義務に基づいて抑制するべきとはするものの、米国からロシアあるいはロシアから米国に対してサイバー攻撃の抑制を要求することはなかなかに難しい様子です。
プーチン氏:
「ロシア発のサイバー攻撃数は、世界的に見て多くない。むしろ、米国の方が多い。」
「米国もロシアにサイバー攻撃を仕掛けている。例えば、ロシア国内の主要地域の1つとその医療システムに対するものを確認している。もちろん、米政府の主導ではないとは思っているものの、このような陰謀論を払拭して、両国ともにサイバー攻撃への対処を行う必要がある。」
バイデン氏:
「米国における重要な16のインフラをリストアップしたものを渡し、重要インフラへのサイバー攻撃についてお互いに対象としないことを提案した」
「基本的な規範に違反した場合、サイバー攻撃にはサイバー攻撃で対応する」
と各々の会見で発言しています。
協議はこれからも進んでいくものの、お互いにサイバー攻撃については牽制しあっている状態にも見受けられます。
重要インフラへのサイバー攻撃は落ち着くかもしれませんが、何かしら別の方法で両国間でのサイバー攻撃の応酬は続くのではないかと思われます。
4.その他、ランサムウェアに対する考え方の動向
考え方の一つとして、ランサムウェア被害にあったときに、身代金を払うべきか否か?という避けては通れない議論が起きます。
例えば、カプコンがRagnarLockerの被害にあったときは身代金を支払いませんでしたが、コロニアルパイプラインの場合はインフラの早期復旧という大義名分も相まって支払っています。
身代金の支払いは犯罪者の次なる犯罪を助長させないという点では重要ですが、インフラが被害を受けた場合は早急な復旧が求められることから支払いが必要なケースも考えられます。(もちろん、バックアップによる復旧コストや、短期/長期的なメリット・デメリットも考慮した上で、支払うかどうかを判断する必要もあります。)
この身代金支払いについては、どの国も表向きには良しとせず、なにかしらの形で抑制しようとしています。最近では米国とオーストラリアの2例が挙げられます。
米国では、米国財務省外国資産管理室(OFAC)が、金融機関、サイバーセキュリティ保険会社、デジタルフォレンジックやインシデント対応に関係する企業に、攻撃者に対して金銭的な支払いを行った場合は規約に違反し、制裁対象となるリスクがあると警告しています。*5
また、オーストラリアでは、攻撃者に身代金を支払う場合、オーストラリアのサイバーセキュリティセンター(ACSC)に攻撃者や攻撃内容、支払いの重要な詳細を報告しないといけない、という法案が提出されています。
オーストラリアの政府内でもランサムウェアに対する脅威を強く認識していることが伺えます。
刑事罰か報告かの違いはありますが、どちらにせよ身代金を支払ったことが社会全体に可視化されるため、全体的な身代金支払いを抑制することは期待できそうです。
ただし、身代金を支払うことが結構普通だ、という風になるとむしろ攻撃者の身代金支払いが増えるのでは?という見方もできるため、難しいところです。
また、一説では、身代金支払いで発生した支出は税控除になる可能性があるという話もあります。*6
5.日本との比較
1~4を顧みると、各国はサイバー攻撃、ひいてはランサムウェアに対する関心が非常に高く、何かしらの策を講じるべきと認識しています。では、日本ではどうでしょうか。
直近の日本のサイバーセキュリティにおける取り組みは、デジタル庁発足や個人情報保護法の改正、経産省の取り組み(中小企業サイバーセキュリティお助け隊など)、などなどです。
まず、デジタル庁についてはDX化に伴うサイバーセキュリティの強化に関する取り組みも模索されていますので、社会全体へのサイバーセキュリティの認知度はさらに高くなると思われます。
ただし、現在発生しているランサムウェア問題については、デジタル庁絡みでは触れられなさそうな気もします。
個人情報保護法の改正では、情報漏えいしたことを個人情報保護委員会へ報告する義務や情報漏えいに対する罰金額の上限引き上げなどがあり、二重脅迫型のランサムウェアの場合には情報漏洩も同時に発生することから、ランサムウェア被害を抑制する取り組み強化には繋がりそうです。
また、経産省では中小企業サイバーセキュリティお助け隊をはじめ、サイバーセキュリティに対する支援活動や注意喚起などが行われています。
全体的にみて、サイバーセキュリティ自体への取り組みは徐々に強化されつつあるように見受けられます。
しかし、被害抑制はもちろんですが世界的にはこれから自国内でランサムウェアグループの活動を抑える方向にも目を向ける必要があるとされてきています。
日本初のランサムウェアグループはほとんど見かけませんが、他国からスパイが日本を拠点にして活動するケースで、活動を抑えるような取り組みが必要になる可能性が考えられます。
現状は、中国からのスパイを警察が検挙することはありますが、今後は政府もこのような取り組みに力を割くべきでもあります。
しかし、現状は防御することに手一杯のようにも見えるため、他国と足並みを揃えて進んでいくというところは難しいようにも感じます。
セキュリティニュース(国内編)「国内企業のEDRの普及率は2割、『経営層に効果訴求できない』」
EDRというジャンルのサイバーセキュリティ製品が登場して数年、すっかり市民権を得たワードですが、実際に使いこなして活用できている企業はどれくらいあるのでしょうか。
老舗EDRベンダーであるタニウムによる実態調査が公表されましたので記事にしてみました。(他記事一本)
国内企業のEDRの普及率は2割、『経営層に効果訴求できない』
5月27日、タニウムが国内におけるEDR(Endpoint Detection and Response)の実態調査の結果を公開しました。*7
調査対象となったのは国内の従業員1,000人を超える企業と公共団体におけるIT管理者です。比較的セキュリティ意識が高くなければならないはずの大企業の方々ですね。調査結果を抜粋します。
- EDRの認知度:
-7割以上がEDRという名前を知っている
-しかしアンチウイルスとの違いを説明できる人は3割
- EDRの導入率:
-市場全体の2割程度
EDRという言葉は知っているが、どういうものかは今一つ分かっていないというのが現状のようです。
また、導入率が2割というのは少し驚きです。ここ数年ずっと「アンチウイルスは死んだ!次世代アンチウイルスも完璧とは言えない!EDR!EDR!」と叫ばれていた印象が強かったためです。普及が進んでいないことには何か理由があるのでしょうか。調査結果を抜粋します。
- EDR導入で困ったこと:
-効果が限定的だった(4割)
-製品単体では検知後の対応が限定的だった(3割)
-検知数が多すぎた(3割)
- 導入済みEDRへの改善要望
-過検知が多い(3割)
-検知だけで隔離や駆除までやってくれない(3割)
- EDR導入後、経営層の評価が低い理由
-EDR製品の導入効果を経営層に明示することが難しいため(5割)
-経営層のサイバーセキュリティに対する意識が低いため(3割)
過検知が多い、経営層に効果をアピールしにくい、といったことが原因のようです。
大企業のIT管理者をもってしてもアンチウイルスとEDRの違いを説明することが難しいのですから、経営層に理解してもらうのは困難でしょうね。EDRに限らずセキュリティ製品全般に言えそうです。
これに対してEDRの提供者でもあるタニウムは、「経営者を説得しよう!」と主張するのではなく、「EDRを入れるより先にサイバーハイジーンを徹底しよう!」という斜め上の建設的な提案をしています。*8
サイバー攻撃を防御・検知することの難しさとコスパの悪さを目の当たりにしている今、そもそも攻撃されにくい環境を作る努力をしようという潮流には一定の納得感があります。
根本的対策としては納得できますが、「攻撃されにくい環境を作りました、今月は〇〇%も攻撃されにくくなりました」と効果を数値化することはある意味、検知が発生するタイプのセキュリティ対策よりも難しそうです。流行るとよいのですが。
富士通製プロジェクト共有ツール「ProjectWEB」、不正アクセスで情報漏洩
直近のセキュリティ国内ニュースといえば「ProjectWEB」の件で間違いないでしょう。
富士通の提供するプロジェクト情報共有ツール「ProjectWEB」に対して第三者からの不正アクセスがあり、当該ツールに保存されている顧客情報の一部が不正に窃取されたと、5月25日に発表されました。*9
ProjectWEBってどんなツール?
「ProjectWEB」は社内外でナレッジを共有するためのマネジメントツールで、インターネットからアクセスできるクラウド型で提供されています。共有されるナレッジとしては主にライブラリ、ToDoリスト、スケジュールなどです。
注目ポイント
ツールを利用していた顧客が大物という点です。成田国際空港、国土交通省、総務省、外務省、内閣官房内閣サイバーセキュリティセンター(NISC)など、情報が流出すると影響が大きそうな重要組織ばかりです。行政機関を中心に他にも膨大な数の顧客を抱えていたと想像できます。情報流出に関する情報も一部公開されています。
- 国土交通省
職員の業務用のメールアドレス、省外の方のメールアドレスなど、少なくとも約7.6万件分のメールアドレスが流出の可能性*10
- 外務省
同省が推進するデジタルガバメントに関する検討資料が流出したと発表し、一部に個人情報が含まれており、該当者に連絡を行ったと表明*11
- NISC
サイバー攻撃を受けた際の情報共有の訓練に参加した官公庁や企業、合わせて90組織、170人分の役職や氏名が流出したという*12
5月末頃に一連のニュースが知れ渡り、ProjectWEBの運用を停止して調査を進めると報じられて以降、詳細な原因や影響などの続報はありません。
重大な情報漏洩はないとされていますが、これだけ多くの顧客を抱えるクラウドサービスが停止されたとなると、ものすごい数の人が不便を被っているのでしょうね。
セキュリティニュース(海外編)「飲みの席で作戦立案? FBIらの作戦で800人以上の犯罪グループを逮捕」
6月に入って、2つの逮捕のニュースが目につきました。
一つはFBIが偽の暗号化デバイスを犯罪者に流通させることで逮捕するまでに至った素晴らしいニュース。
もう一つはサイバーセキュリティに従事する者がサイバー攻撃に加担した嘆かわしいニュース。
良いニュースと悪いニュースの2つをまとめましたので、ご覧ください。
飲みの席で作戦立案? FBIらの作戦で800人以上の犯罪グループを逮捕
麻薬取引や武器の売買、サイバー攻撃の情報交換などを犯罪者が行う際には、盗聴・復号されることのないエンドツーエンドの暗号通信が確保されているアプリやデバイスを使用します。
過去にはEncroChatと呼ばれるアプリの通信の盗聴に成功することで多数の犯罪者を逮捕することに成功した事例もありましたが、その他の犯罪者はすぐに別のツールに移行しました。
このような背景を利用して、FBIはオーストラリア警察および欧州の警察と協力し、「Anom」と呼ばれるFBIが制御可能な機能がインストールされたデバイスを犯罪者に流通させることで、犯罪者間のメッセージを盗聴することに成功しました。
米国と欧州ではこの作戦を「Operation Trojan Shield」と名付けているように、まさにトロイの木馬のように攻撃者側のネットワークに入り込んだというわけです。
結果として、12,000台を超えるデバイスを流通させ、16か国に渡って法執行活動を実行し、700件以上の家宅捜索、800件以上の逮捕にまで至りました。*13*14
作成の立案からデバイス流通、逮捕までに約3年の時間をかけた大規模な作戦ですが、立案のきっかけはまさかの飲みの席。
2018年にFBIとオーストラリア警察が数本のビールを飲んだ時に、本作戦を思いついたとコメントしています。*15
飲みの席で思いついた作戦を実現したことは凄いですが、犯罪者目線からすると飲みの席で思いついた作戦で捕まってしまうというは何とも言えない気持ちになりそうですね。
ITセキュリティ会社のCOO(最高執行責任者)がサイバー攻撃での容疑で起訴される
2021年6月10日、医療業界にサービスを提供する、とあるネットワークセキュリティ企業の最高執行責任者が、2018年にグウィネットメディカルセンター(アメリカ)へのサイバー攻撃に関与した容疑で起訴されました。*16
行った攻撃内容としては、
- 電話サービスの中断
- デジタルデバイスからの情報搾取
- ネットワークプリンタサービスの中断
起訴状では部分的に金銭目的のためにこのようなサイバー攻撃が行われたとされています。
特に、今回は医療センターへのサービス中断行為を意図的に行ったことから、最悪の場合人命を危険に晒すとして、重くとらえられています。
金銭目的とはいえ、セキュリティ企業がサイバー攻撃を引き起こすとは、なんとも嘆かわしいものです。
日本ではシステム運用を行うSEが顧客情報を窃盗し、自らの利益のために利用するという事件が過去に何度かあったことは記憶にありますが、セキュリティ企業が不正行為を行うような事件は聞いたことがないです。
セキュリティ企業という立ち位置からしてもサイバー攻撃を引き起こすということは、セキュリティ企業そのものの信頼を大きく落とすため、最も行ってはいけない行為の一つと言えます。
同じセキュリティ企業として、今後同じような事件が起こらないことを切に願います。
■ 関連リンク・引用
*1: Exclusive: U.S. to give ransomware hacks similar priority as terrorism , Reuters, 2021/06/24
*2: White House warns companies to step up cybersecurity: 'We can't do it alone', Reuters, 2021/06/24
*3: 2021 G7コーンウォール・サミット, 外務省, 2021/06/24
*4: バイデン米大統領、プーチン露大統領に「サイバー攻撃にはサイバーで反撃する」と警告, IT総合情報ポータル「ITmedia」, 2021/06/24
*5: ランサムウェアの身代金支払いを支援すると罰金&制裁対象に:犯罪者の資金源を遮断, IT製品/サービスの導入・購買を支援する「TechTargetジャパン」, 2021/06/24
*6: ランサムウェアに対する身代金支払いがアメリカで「税控除」の対象になる可能性, GIGAZINE(ギガジン), 2021/06/24
*7: タニウム、「国内EDR実態調査」の結果を発表, Tanium, 2021/06/24
*8: 国内EDR実態調査結果について, Tanium, 2021/06/24
*9: プロジェクト情報共有ツールへの不正アクセスについて, FUJITSU, 2021/06/24
*10: 報道発表資料:富士通株式会社が管理・運営するプロジェクト情報共有ツールへの不正アクセスによる国土交通省関係情報の流出について, 国土交通省, 2021/06/24
*11: 富士通株式会社が管理・運営するプロジェクト情報共有ツールへの不正アクセスによる情報の流出について, 外務省, 2021/06/24
*12: NISC、サイバー攻撃対応の訓練情報が流出 富士通ツールへの不正アクセスで, IT総合情報ポータル「ITmedia」, 2021/06/24
*13: Operation Trojan Shield, FBI, 2021/06/24
*14: 800 criminals arrested in biggest ever law enforcement operation against encrypted communication,Europol, 2021/06/24
*15: The AFP has just revealed the 'most significant operation in policing history'. Here's what we know, ABC (Australian Broadcasting Corporation), 2021/06/24
*16: Chief Operating Officer of Network Security Company Charged with Cyberattack on Medical Center, U.S. Department of Justice, 2021/06/24
