第62回
そのサイバー攻撃対策と理解、
間違っていますよ!
先日、テレビのややバラエティ色が混じっているとはいえ情報番組でサイバー攻撃対策について取り上げていました。ニデック(NIDEC,旧日本電産)のグループ会社やKADOKAWAグループ、それにリクルート等がランサムウェアに基づくサイバー攻撃の多大な被害に遭ったことを受けてのことです。その中でサイバー攻撃関係の専門家と称しているパネラーや経済評論家たちがその対策やランサムウェアについて解説していました。しかし、その解説は非常に残念な内容だけでなく、その対策や解釈は大きく間違っているだけでなく、それを信じて対策を行えば、更なる大きな被害に見舞われることになるものでした。その中で大きく2点について指摘します。
第一は、ランサムウェア等サイバー攻撃の被害に遭わないためにはパソコンやサーバー類をインターネットに接続しないことであると強調していました。これは一概には正しくありません。病院へのランサムウェア攻撃として有名となった徳島のつるぎ町立半田病院も、院内の人たちは病院の電子カルテやCTやMRI等の電子機器等はインターネットに接続していないと、その運用管理を行っているITベンダから説明を受け、信じていたのですから。実際はVPNという装置を用いて、インターネットと接続していました。ITベンダがVPNを含めて、その運用管理をしっかりと行っていれば、ITベンダ以外は外部から、すなわちインターネットを通して外部から侵入することはできず、インターネットと接続していないことになります。しかし、その前提であるVPN等の管理運用がおろそかになれば、そうとは言えなくなるのです。半田病院の例はVPNとは言え、物理的にはインターネットと接続しているものでした。2016年の日本年金機構へのサイバー攻撃については、個人情報を扱うサーバー類はインターネットに接続していない中での情報流失でした。100万件以上の個人情報がサイバー攻撃によって外部に漏れたのです。確かにサーバー類はインターネットと物理的に接続されていませんでした。しかし、所員らのインターネットに接続してるパソコンがサイバー攻撃を受け、マルウェアが感染したパソコンをサーバー類に接続したことで情報が漏洩したのです。強いて言えば、インターネットに接続していない、あるいはしないパソコンやサーバーはあり得ないのです。直接、インターネットに接続していなくとも、パソコンやUSBメモリ、あるいはスマホを介在させてインターネットを接続することは十分あり得ます。結局は人間が介在してインターネットに結ばれてしまうことになるのです。
次にランサムウェアに対する理解です。TV番組のゲストが「身代金を払えば、かならず復旧してくれるのか、払ったにもかかわらず、さらに要求され、再度、狙われるということはないのか?」と専門家と称する人に問いかけていました。その専門家は「ランサムウェアを操る人もビジネスなので有りえない!(つまり、払えば復旧され、二度と狙われることはない)」と言い放ったのでした。これは間違いです。確かにRaaS(Ransomware as a Service)といって、ランサムウェアを扱う犯罪組織はビジネス化しています。身代金を払っても復旧できないとなると誰も身代金を払わなくなり、金品を盗るという目的が達成できなくなります。しかしビジネスと言っても、公共の福祉に携わる機関ではありません。必ず復旧するとは限らず限らず、保証をすることはありません。実際に身代金を払っても復旧できない例も少なくありません。苦労して復旧したとしても、再度、狙われることもあり、実例も存在します。またランサムウェアはシステムを暗号化し、破壊するだけでなく、そのデータを流出させることが一般的です。流出した個人情報や企業の秘密情報も質に盗られているのです。身代金を払っても、その流出した情報を返してくれるわけではありません。公開しないと口約束をするだけです。約束を反故にされて何時公開されるかわかりませんし、隠れて敵対企業や反社会組織に売買される可能性もあるのです。