第58回
不都合な真実
(サイバー攻撃編)
前回は不都合な真実として、ランサムウェアを取り上げました。不都合な真実というよりもランサムウェアに対する無理解がその対策を歪めているという事実です。ランサムウェアはその対策から見ると特別なサイバー攻撃ではなく、従前からの対策をしっかりと行っていれば防ぐことが可能です。また不幸にもランサムウェアの被害にあったとしても、情報漏えいの被害はともかく、暗号化されたデータ回復の可能性は少なくなく、セキュリティ技術に長けたITベンダに相談すべきです。身代金についても支払うことで復旧できるか否かは微妙であり、身代金を支払ったことによるリスクのほうが高くつく場合が少なくありません。
サイバー攻撃の対策についても十分な理解が得られていません。従来から「怪しいメールを開かないように!」と良く言われますが、現在では怪しいか否かは問題となりません。
つまりマルウェアや攻撃の糸口を仕組まれたメールで,あたかも正常なメールを装って送られ、その判断が付かないメールが多いのです。いくら慎重になっても、訓練を重ねても絶対に開かないとは限りません。では、巷で行われている「標的型メール訓練」は何のためにあるのでしょうか。その真の目的は「メールの真偽を見極め、不正なメールを開かない」ためではなく、誰かがそのメールを開き、マルウェアに感染した、あるいは不正アクセスを受けた際に、組織/会社全体として、どのように動くかという演習なのです。誰も不正なメールを開かないようになれば演習にならないのです。訓練の結果、誰もそのメールを開かないのは、その訓練を主催している訓練主催者側のメール作成が杜撰なのです。
ウイルス対策ソフトの導入も必ずしも理解されていません。ウイルス対策ソフトを導入することが大事なのではなく、その運用を適切に行う、つまりそのソフトが適切に運用されているかを監視することが重要です。
ウイルス対策ソフトを導入していると宣言している組織/企業で、実際に調査に入ると、一部のサーバや端末では導入されていなかったり、期限切れであったり、導入していても稼働させていなかったりしている場合が多いようです。バックアップも理解されていません。
ランサムウェアの流行もあってバックアップの重要性が指摘され、データやシステムのバックアップを導入する組織/企業も増えました。しかしバックアップはBCP(事業継続)の一つの手段であって、目的ではありません。バックアップを取っていてもBCPにつながらなければ意味がないのです。
バックアップを利用することによって本当に復旧できるかを定期的に確認しなければなりません。いざ、バックアップによって復旧しなければならないときに、戻らないということも少なくないのです。
さらにもう一つ、サイバー攻撃対策の要であるパスワードです。
パスワードが第三者に漏えい、簡単に推測されては容易に侵入を許し、サイバー攻撃の被害に遭ってしまいます。まずパスワードの漏えいに対する対策は、すべてのパスワードを同一にしないことです。つまりすべてのサービスやパソコン、サーバへのアクセスに関して異なるパスワードを設定することです。
自分自身がいくら注意深くパスワードを使って漏えいに注意しても、サービス側、サーバ側から漏えいすることが有ります。もしすべて同じパスワードを使っていると、いずれかのサービス、サーバ側から漏れただけで、他のサービス、サーバが危険にさらされるのです。パスワードリスト攻撃の脅威です。そして各パスワードを複雑なパスワードにすることも求められています。
複雑と言う意味は、辞書等に掲載されている単語や言葉ではなく、乱数に代表されるランダムな文字列数字列を使うということです。通常、英数小文字大文字記号を混ぜた最低8文字以上、12文字程度が推奨されています。しかし、これがなかなか理解されず、次の3つが優先されることも多いようです。
-
パスワードの定期的な変更
-
メモ等に書かず、記憶すること
-
できるだけ長いパスワードを
しかし、現在では、この3つはいずれも推奨されていません。パスワードの定期的な変更を求めれば、そうでなくとも多くのパスワードを管理しなければならず、より簡単なパスワードになりがちです。
特に定期的な変更となると1,2,3,…のようなカウンタ方式、順序に基づくパスワードになりがちです。メモに書かないことも強く要求すれば、同じように記憶には限界があり、同じようなパスワード、もしくは簡単なパスワードになってしまいます。
メモに書いておけばよいのです。そのメモさえ他人の目に触れない、もしくは探せなければ良いだけです。出来るだけ長いパスワードも同様で、それを強いると、意味のある文章(フレーズ)や単語の並びになってしまいます。