近年のサイバー攻撃は、過去のPC単体を狙った不特定多数への自動拡散型(ばらまき型)ではなく、人手操作型ランサムウェア(Human-Operated Ransomware )の被害が目立っています。代表的なサイバー攻撃の検知ツールの特徴を踏まえ、日本企業に特化したAIを活用の推奨モデルを提唱します。

昨年、他の大企業に大きなインパクトを残したアサヒグループホールディングス社の例を筆頭に、いくつかの人出操作型ランサムウェアが発生しています。特に製造業が最も多く、卸売・物流、医療関係にも及んでいます。

人出操作型ランサムウェアの特徴は、まずVPNなどを介して企業ネットワークに侵入します。続いて管理者権限を搾取し、ネットワーク内のシステム構成やデジタル資産を把握し、横展開によりバックアップやログを無効化。そして犯罪者にとって最も適切かつ被害を最大化できるタイミングを狙って暗号化ロックを行います。

攻撃による復旧コストは1000万円以上に達し、復旧期間も1ヵ月から、中には数カ月以上の長期に渡ることもあります。

特に大企業ではシステム構成が複雑かつ広範で、被害総額が数十億円以上となり、復旧期間も長期に及ぶことは必至です。事業継続にも多大な影響を与え、信用失墜も伴う、企業にとっては最重要経営課題と言わざるをえません。

現状、超大企業であっても侵入に対する対応体制は脆弱です。もし侵入を早期検知できれば、暗号化直前に被害を防ぐことができたとも考えられます。では、なぜこうした事前侵入を大企業でさえ検知できなかったのでしょうか。以下のパターンが考えられます。

a. VPN経由の侵入により正規アクセスと区別ができず、 EDR(Endpoint Detection and Response)で検知されなかった。

b. 管理者権限を搾取され、正規の業務か侵入による操作か区別できず、されるがままだった。

c.各対策の範囲内では通常動作にみえるために見過ごしていた。操作の時間帯や回数、操作端末数を総合的に判断すれば異常だった。

d. 担当者がいない休日・深夜に複数サーバへ侵入され、偵察を繰り返されていた。

e.システム移行といった正規の運用や検知を解除していたタイミングで攻撃を受けた。

さらに、これらが複合的に重なることで侵入を許していた、もしくは侵入と判断できなかった可能性があります。「点」では正常でも、「線や面」で異常なケースまでを見逃し、侵入を許していた、または侵入であるという判断に至らなかった可能性があります。