億単位の損害?「大規模マルウェア感染」の深刻度
サイバー攻撃を受けた際、BCPの発動や対応方針の決定に至る判断をするのは経営層だ(写真: y.uemura / PIXTA)
サイバー攻撃にはほぼ必ずマルウェア(悪意があるソフトウェアの総称)が関与する。攻撃にはさまざまな手法があり、個別の手順や段階を追って行われるが、その大部分でマルウェアが使用されている。そしてマルウェアは、「エンドポイント」と呼ばれるWindows端末やサーバーで動作するものがほとんどだ。
そう言うと、「サイバー攻撃対策=エンドポイントのマルウェア対策」という単純な図式が成立しそうだが、実際はそれでは収まらない。
「侵入の手法には脆弱性の悪用が頻繁に行われるので脆弱性対応が必要」、あるいは「攻撃のきっかけにはいまだにメールが多用されるのでメールセキュリティが重要」といった見方もできるが、これらは総じて技術的な議論だ。ここで「収まらない」と表現しているのは、非技術的な視点も含めてである(4ページ目に、モデルケース別にサイバーインシデント発生時の被害額を例示)。
サイバー攻撃を受けたらマルウェアを解析する
サイバー攻撃に遭った企業・組織が直面する被害で代表的なものは、データの窃盗による情報流出だ。その他、数年前から大変顕著に確認されているランサムウェアの場合はデータが暗号化されて使用できなくなり、事業継続に甚大な影響を受ける。また、あまり表面化していないが、目的を情報収集に特化した攻撃もある。この場合、ファイルなどは持ち出されない傾向にあり、実際にどのデータが流出したか調査・判定するのは非常に困難だ。
いずれにしても、マルウェアの活動が確認できた際、企業・組織は何らかの対応を取る必要がある。
マルウェアの活動を認知する手段としてわかりやすいのは、ウイルス対策ソフトやEDR (Endpoint Detection and Response)などによる検知だ。ウイルス対策ソフトでマルウェアを検知した場合、その動作自体は対策ソフトにより止まっているはずだ。
東洋経済Tech×サイバーセキュリティのトップページはこちら
ただし、検知できなかったマルウェアや、攻撃者が送り込んだ何らかのツールが動作している・していた可能性は残る。そこで検知したマルウェアを解析して動作内容を確認し、端末のOSやネットワーク機器のログを可能な限り突合して調査する必要があるが、この調査に必要な情報をつねに監視・記録して調査効率を図っているのがEDRだ。
マルウェアの活動を認知した時点では、それがどのような挙動をした可能性があるか、外部へのデータ転送など情報流出の可能性があるかを調査しなくてはならない。並行して、企業・組織の意思決定者やそれに直結する部署に対して事態の報告を行い、対処方針の検討を始めるための材料を提示することが必要だ。
システムが1カ月停止すると売上は何%減るか
ここでのカギは、攻撃の被害によって「事業の継続性」にどの程度影響が出ているか、「直接・間接」双方の観点で考えることだ。
例えば、ランサムウェア(マルウェアの一種で、復旧と引き換えに「身代金」を要求するもの)に感染してファイル群が暗号化されて読み込めず、事業に必要なシステムが一部停止に追い込まれた場合、この状態が1カ月続けば○○%の売り上げ減が見込まれる、といった具合だ。
実際の現場において、初動対応でここまで情報を整理するのは難しいかもしれないが、そのための状況把握や、最終的な経営判断の材料となり得る事実関係は押さえておくべきだ。
サイバー攻撃を「事業継続」の切り口で捉えると、企業・組織の対応の分岐点はBCP(事業継続計画)を発動するかどうかにある。
BCPとは「自然災害・大火災・テロ攻撃などの緊急事態に遭遇した場合において、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のこと」(中小企業庁「中小企業BCP策定運用指針」)だ。
昨今のサイバー攻撃は事業継続を困難にする威力を持つため、BCPを発動する事象の1つとして想定しておかなくてはならない。サイバー攻撃がIT部門・情報セキュリティ部門・技術部門の対応だけでは収まらないという主張のゆえんがここにある。現場が収集した情報を集約し、BCP発動から対応方針の決定に至る判断をするのは、経営層が主導して行うべき事項だ。
南海トラフ地震発生のBCPが功を奏した病院
ここで、1つ具体例を出してみよう。2021年11月にランサムウェア被害に遭った徳島県つるぎ町立半田病院。ランサムウェアLockBitにより電子カルテシステムなどが暗号化され、診療業務を著しく制限する事態に追い込まれた。
災害拠点指定病院であった半田病院は、もともと南海トラフ地震発生を想定したBCPを策定していたが、当時のランサムウェア攻撃を受けてこのBCPを発動したと聞いている。
平時から、大規模停電を想定して医療事業継続訓練を実施していたことが功を奏したのか、約2カ月で復旧に漕ぎ着けた。もちろん、対応期間中の組織内の混乱・苦労・努力は想像を絶するものがあっただろう。
とはいえ、こうした対応をすべての組織が内製化するのは無理がある。専門知識を持つ人材の確保や育成には、時間と費用の両面でコスト高となる場合がほとんどだ。必ずしも内製化を否定するものではないが、迅速な初動対応のために普段から攻撃の兆候を監視するには外部の専門企業を活用するのが現実的だ。
一方で、緊急対応組織を組成し、情報を収集して事業継続・応急復旧の司令塔を機能させる部分は外部に委託できない点は十分留意すべきだろう。
ランサムウェア被害につきものの「データ復旧」に関しては、委託元の被害企業と外部事業者の間にトラブルが発生しやすいが、デジタル・フォレンジック研究会(IDF)が公開している「データ被害時のベンダー選定チェックシート Ver.1.0」を参考に委託先企業を選定するとよいだろう。
軽微なマルウェア感染被害でも約600万円の費用
最後に、事案対処には一時的に費用が発生する。筆者も作成に関与した日本ネットワークセキュリティ協会(JNSA)のインシデント被害調査ワーキンググループの調査成果物「インシデント損害額調査レポート2021年版」では、モデルケースごとにサイバーインシデント発生時の被害額を例示している。
出所:「インシデント損害額調査レポート2021年版」P44〜P48
数百万円から数億円まで幅はあるが、軽微なマルウェア感染被害でも600万円程度の費用は必要だとの算定だ。インシデントが起きるかどうかわからない中で、こうした費用を予算化するのは難しいが、サイバー保険に加入すれば対処費用の一部は保険金が下りる場合もあるうえ、保険料として予算化もしやすい。ただし当然のことながら、保険はサイバー攻撃に遭わないための対策にはならないことは忘れてはならない。
(前田 典彦 : FFRIセキュリティ 社長室長)