2021/11/24
デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線
小原 浩之
日本の大手総合商社に34年間籍を置き、営業を一通り経験した後、経営企画・連結経営リスク・BCP・個人情報保護・情報セキュリティおよびサイバーセキュリティに関する制度の立案・推進を長年リードしてきた経験を持つ。2018年5月から、英国を本拠地とする国際的NPOであるISFの日本および極東担当代表に就き、グローバル水準のコミュニティー形成を図っている。また、デジタルで繋がっていく「接続性」の中で、人の繋がりを重視した社会デザイン形成に貢献したいと願い、デジタルリスクに関する規範研究やコンサルティングをしている。
ランサムウェアを使った犯罪(情報や事業システムを暗号化して人質に見立て、復号鍵と引き換えに大金を脅し取る犯罪行為)の脅威は苛烈なものになっています。特に、Covid-19のパンデミック禍が枯草の山になったかのように、“The Web of Profit”(サイバー犯罪経済)は燎原の火となりました。
まずは、企業人が皆、この現状認識を持つところから始めなければなりません。これはセキュリティという一分野の人々の問題ではなく、経営リスク環境における全役職員の問題ではないでしょうか。法外な身代金要求を受けてみて初めて、「払うべきか、払わざるべきか?」とハムレットを気取るような暇はありません。問題は、払うべきかどうかではなく、リスク対応に幾ら、何時払うと「出費を抑えられるか?」ということではないでしょうか。
世の中の状況はどうなっているのか、何が問題なのか、わが身を振り返ってみて、自社ではどうすべきなのか? まずはいつものように、欧米のサイバーセキュリティ、情報リスク分野の権威であるISFの専務理事のブログから全体観を得ることにしましょう。
SOURCE: FORBES
October 27, 2021
Steve Durbin, Chief Executive, ISF
警察、医療機関、教育機関、石油業界、政府機関いずれにおいても、ランサムウェア感染の広がりから免れることができる業界は一つもありません。そして、ひとたび被害に遭えば、事業の存続そのものも脅かされかねません。この至るところにはびこる脅威や予期できない悲惨さに鑑み、米国司法省は、あらゆるランサムウェア犯罪捜査をテロの優先度と同水準に格上げしています。
今日では、サイバースペースは事実上、空、海、陸に次ぐ防衛の第四の領域となっています。重要インフラを支える運用技術へのランサムウェアの攻撃が一つでもあれば、本格的な物理的攻撃と同程度の影響を与える可能性があるのです。
そして、まさに2021年、それを目の当たりにすることになったのです。まず、コロニアル・パイプラインへのハッキングによるランサムウェア攻撃では米国東海岸一帯で深刻なガス燃料不足が発生しましたし、食肉大手のJBSから1,100万ドルの身代金を奪った大規模攻撃では、米国の食肉産業の23%が一時操業停止に追い込まれました。
大金が獲られるうえ、攻撃ツールの入手も容易になったことで、ランサムウェアによる脅迫はこれからも今そこにある脅威であり続けると考えられます。ここで、自社セキュリティを確保するために、サイバーセキュリティ業務に携わる方にご留意頂きたい幾つかの点をご紹介します。
デジタル接続が増え、ITインフラが複雑になり、サプライチェーン・ネットワークが入り組んだことによって、企業が攻撃を受ける領域が劇的に拡がってしまいました。その意味するところは、手練れのサイバー犯罪者にとって、ランサムウェアの弾頭を持って内部ネットワークに侵入することが、これまでになく容易になったということです。
そこで、数多の企業が手あたり次第に標的にされる「数打てば当たる」式の、当たるも八卦的なハッキング攻撃も今や、大きな引き潮として遠ざかっています。ハッカー集団は先鋭化しつつ高度な組織化を遂げて犯罪カルテルの態をなし、極めて慎重に攻撃対象を選んでは、幾手にも分かれて洗練されたグループ連携攻撃をするようになってきています。
とは言え、ランサムウェアの侵入経路は以下の3つのいずれかとなるでしょうから、これらの方法を知っておけば、状況を注視し、安全を保つのに役立つでしょう。
1.標的型ランサムウェア攻撃:プロ意識が高い練達のハッカーたちは慎重に標的企業を選ぶと、数カ月を費やし偵察を行い、あらゆる情報源から当社事業、IT基盤、従業員に関する情報を集めていきます。そうすることで、社内のシステム管理者などの特権ユーザーをスピアフィッシング攻撃で狙撃したり、社員を何人かインサイダーとして味方につけたりすることを可能にするのです。
2.サプライチェーン攻撃:サイバー防御力の強さは、サプライチェーン上のパートナーの最もセキュリティの弱い会社の防御力で決まると言えます。サプライチェーン攻撃が増勢にあるのは、一つには、いかに堅牢なネットワークであってもパートナー企業群に防御力の弱いところがあると、サイバー犯罪者にアクセスを許してしまうからです。二つ目の理由として、サイバー犯罪者たちにとっては、いちどきに複数会社を標的として設定できるため、たとえば、餌食にする企業の関係者一人残らずにランサムウェアをばら撒くこともできるからです。まさにそれが、Kaseyaのランサムウェア攻撃で起きたことで、非常に手の込んだ、全く前例を見ない攻撃となりました。この件では、中小企業のサービスプロバイダーが複数影響を受け、彼らの顧客たちにも広がったのです。
3.攻撃の巻き添え: コンピュータプログラム一般と同様に、ランサムウェアも時には欠陥によって計画とまったく異なる結果になることがあります。NSAが作成したマルウェアをベースにしたランサムウェアWannaCry事件でもそうでした。このような制御が外れて暴走する攻撃は最近では滅多にありませんが、それでも多くの企業が激しい攻撃を浴びせられています。デュッセルドルフ大学病院が、ハインリヒ・ハイネ大学を狙ったランサムウェアの巻き添え被害に遭いましたが、これもその一例です。また例えば、コロニアル・パイプラインのハッキングのように、攻撃の結果が広範囲に及ぶことを犯人たちでさえも予期できていないケースもあります。
デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線の他の記事
おすすめ記事
家庭の防災は企業BCPとつながっている
昨今は社員の自主防災力向上に努めている企業も多いでしょう。この時期は災害時のルール周知に余念がないと思いますが、ポイントとして提案したいのが、家庭の防災と企業BCP のつながりをしっかり伝えること。「家庭と会社は別」と考えがちですが、家庭の防災力を上げないと企業の事業継続力も上がりません。メッセージを出すよいタイミングです。
2024/05/02
企業不正の実態と不正防止対策
本勉強会では、企業不正の実態と不正防止対策について解説していただきました。2024年4月23日開催。
2024/05/01
リスク対策.com編集長が斬る!【2024年4月23日配信アーカイブ】
【4月23日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:南海トラフ地震臨時情報を想定した訓練手法
2024/04/23
2023年防災・BCP・リスクマネジメント事例集【永久保存版】
リスク対策.comは、PDF媒体「月刊BCPリーダーズ」2023年1月号~12月号に掲載した企業事例記事を抜粋し、テーマ別にまとめました。合計16社の取り組みを読むことができます。さまざまな業種・規模の企業事例は、防災・BCP、リスクマネジメントの実践イメージをつかむうえで有効。自社の学びや振り返り、改善にお役立てください。
2024/04/22
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方