セキュリティの
学び場

今回の解説ニュース

東証1部上場企業の欧州子会社が被害にあったサイバー攻撃について公表しています。インシデント対応について細かく共有されていますので、内容について見ていきましょう。

今回のインシデントは、日本本社及び同社グループ台湾拠点のサーバに第三者からの不正アクセスの形跡を確認し、同社グループ欧州拠点での不正アクセスも確認したため、欧州内のネットワーク及び日本・アジア・米国とのネットワークを停止し、現地ITセキュリティ調査会社を含むチームで復旧対応と調査にあたったということです。

インシデントの原因として、VPN装置の脆弱性が挙げられています。対策として、不正アクセスの起点となったVPN装置の脆弱性を修正するとともに多重認証を強化、サーバを再構築したうえでバックアップデータをクリーンインストールし、サーバとPCのウイルスチェックを実施しています。また、再発防止策として、今後は外部専門家によるシステムセキュリティに関するアドバイザリー組織を新設するということです。

犯行グループから窃取したとするデータに対し、身代金を要求する脅迫メッセージが確認されていますが、同社では外部の弁護⼠や警察、公的機関等のアドバイスを受け、国際的な問題となっている犯⾏グループとコンタクトをとること及び⾝代⾦の要求に応じる予定はないということです。

全容が把握できないサイバー攻撃被害の公表はどうあるべきか

サイバー攻撃の全容が把握できない場合、被害者の保護を最優先として、考えられる最大値で被害の範囲を公表することが望まれます。

インシデント対応をしている際に、調査をするために必要なログが残されていない状態だと、サイバー攻撃の影響範囲が特定できない場合があります。そのような状況では、考えられる最大値で影響範囲を見積もり、対応をすることが求められます。今回のインシデントでも「二次被害を防ぐ観点から復元したサーバ情報に基づいて、流出した可能性のある個人情報及び一部の企業情報の現時点での最大数を見積もり公表に至った。」とあります。技術的な対策だけでなく、外部への公表についても被害者の保護に全力を尽くした、よいインシデント対応の事例であると考えられます。

逆に、不正アクセスの痕跡が確認できないから安全という最小値の判断をしてしまうと、後になって被害が確認された場合、その間に影響範囲が拡大してしまう可能性があります。インシデント対応の重要なポイントである「被害の局所化」を実現するためには、影響範囲を最大値で見積もることが極めて重要です。

被害に遭っても犯行グループの要求に応えない姿勢の重要性

サイバー攻撃の犯行グループとコンタクトを取ったり、身代金の支払いに応じたりする必要はありません。理由は、さらに攻撃者の要求がエスカレートしたり、被害が拡大したりする可能性があるからです。

ランサムウェアやDDoSなど、サイバー攻撃を受けた際、復旧することと引き換えに身代金を要求される場合があります。仮に犯行グループとコンタクトを取ったり、身代金の支払いに応じたりした場合、どうなるでしょうか？

脅迫に応じる組織と認識され、更なる被害を生む可能性

まず、脅迫に応じる組織として攻撃者に認知されてしまいます。結果として、別の攻撃者からもサイバー攻撃の標的にされてしまったり、ランサムウェアでは二重の脅迫を受ける場合があります。二重脅迫型ランサムウェアとは、身代金の要求に加え、支払わなければ窃取したデータをインターネットに公開すると脅迫する攻撃方法です。窃取したデータの一部を公開した後に、徐々に公開範囲を広げながら被害者を脅してくる場合もあります。

攻撃者の勢力を拡大させる手助けにも

また、攻撃者に利益をもたらすことは、別のサイバー攻撃を行うための資金となり、犯行グループの経済圏を拡大させてしまう可能性があります。社会全体で攻撃者に断固として戦う姿勢を見せることで、中長期的には攻撃者の利益を減らし、サイバー攻撃の撲滅につなげることができます。

以前にも全員参加のセキュリティが必要なことについて触れさせていただきました。万が一、サイバー攻撃の被害にあってしまっても、攻撃者に屈しない強い気持ちでインシデント対応に臨みましょう。