2万社以上に安全なメールサービスを提供しているサイバーソリューションズ(東京都港区)の子会社で、15年ほどサイバーセキュリティインシデント対応支援サービス提供経験を有するセキュリティ技術者が設立したインターネット・セキュア・サービス株式会社(東京都港区)の最高サービス責任者である筆者が、サイバーセキュリティ侵害の侵入経路の傾向と対策について解説します。

初回は実際に対応した事案を分析してわかった「セキュリティインシデントの発生状況」と「感染事例の対応経緯」を解説します。

事業停止を伴うような大規模ランサムウェア感染はどの程度生じているのか。

筆者は、近年報道等でも見られる、事業停止を伴うような大規模ランサムウェア感染事例にも複数件対応しています。製造業、流通業など幅広い業態の企業が被害に遭い、1カ月以上の業務停止に陥ることも珍しいことではありません。

本題に入る前に、筆者が所属していたサイバーセキュリティインシデント対応支援サービスを提供していた組織における対応の集計をみてみましょう。近年いつ発生するか予測することができないサイバーセキュリティインシデントに迅速に対応するため、インシデント発生前に年間契約型のサービスを締結する組織が増えてきました。筆者の所属する組織でもそのような年間支援型のインシデント対応支援サービスを提供しています。次の表は筆者所属組織の顧客企業の中で発生したセキュリティインシデントに関わる数字を集計したものです。対象は全て日本国内企業であり、アンチウィルスやSOCによるセキュリティ監視など、セキュリティ対策は十分進んでいる企業ばかりです。

表1:セキュリティインシデント発生状況
セキュリティインシデントを経験した組織 76%
平均インシデント数 年間1.9件
インシデント対応サービスの利用時間 100時間
インシデントクローズまでの合意期間 1カ月〜6カ月
大規模セキュリティインシデントの割合 13%
事業停止を伴う大規模ランサムウェア感染インシデントの割合 3%

 

セキュリティインシデントを経験した組織

サービスを契約する企業のうち、実に76%で何らかのインシデントを経験したという結果でした。この中には本稿の題材に取り上げる大規模ランサムウェア感染インシデントから、単一PCのEmotet(エモテット)感染などの非常に小規模なインシデントまで含まれています。インシデント規模の大小を問わなければ、ほとんどの企業でインシデントは発生すると言っても過言ではないでしょう。

平均インシデント数

そしてインシデントを経験する企業では、平均すると、年間1.9件のインシデントを経験していました。これはかなりのインシデントの発生頻度と言えます。各種セキュリティ対策により、ほとんどのサイバーセキュリティ攻撃自体を防御できているはずですが、それでもゼロにするのは困難である状況です。

インシデント対応サービスの利用時間

サービスを利用した平均合計時間です。大規模なインシデントが平均の数字を押し上げています。サービスの利用だけで平均すると約13日間必要としていることが分かります。

インシデントクローズ合意までの期間

1つのインシデントの、技術的な対応支援終了を合意するまでの期間です。一般的には侵入経路などの原因、影響範囲、被害内容、再発防止策の提供をもって終了とします。影響範囲の確定や被害内容の確定に時間を有すると終了合意まで時間がかかることになります。稀なケースとしては、報告書の提供形態の調整で時間を有することもありました。

大規模セキュリティインシデントの割合

この表の大規模とは、10台以上のサーバーがインシデントの影響を受けたケースを指します。全体のインシデントの13%が大規模なインシデントでした。もちろんこの中にランサムウェア感染も含まれています。

事業停止を伴う大規模ランサムウェア感染インシデントの割合

大規模ランラムウェア感染インシデントが全体のインシデントのうち3%も占めていました。これはランサムウェアによる被害が広がっていることを示しています。

このように一定のセキュリティレベルにある組織においてもランサムウェア被害はいつ発生してもおかしくない状況にあるのです。次ページ以降で、実際に発生した事業停止を伴う大規模ランサムウェア感染への対応事例を紹介します。