当たり前ですが、サイバー空間には、国境や国民国家という概念がないといっていいでしょう。その上で情報をやり取りしています。世界的な状況や視点を知ったうえで、自社や組織の状況を捉えて、新たな気づきに繋がれば幸いです。あらためて海外のランサムウェアの被害の状況を取り上げます。
今後、どのようなサイバーセキュリティ対策をとるべきか、世界的にも大きな課題となっていることは間違えなく、正解はないようです。最近気になったトピックを共有して、今後を考察してみたいと思います。
目次
1. 巨大企業もランサムウェア被害にあう、国境なきサイバー空間 (Maersk 社の Not Petya の感染)
1-1. 2018年 ダボス会議での Maersk 社 役員のコメント
2018年世界経済フォーラム年次総会(Davos:以下、ダボス会議)が2018年1月23日~26日、スイスのダボスで開かれました。このダボス会議で、Securing a Common Future in Cyberspace というトピックのパネルセッションが行われました。
Maersk という会社ご存知でしょうか。世界の海運業の約20%を占めている、巨大な多国籍企業です。船のコンテナにMaerskとかかれていたりするのをよく目にしたりします。世界中の港湾をITシステムで管理している企業です。
パネルディスカッションの冒頭で、Maersk 社の役員自らが、直近の Not Petya(※)感染を経験したことを議題にあげました。通常、感染後の復旧に非常に時間がかかることが想定されますが、Maersk 社では、現場社員の奮闘もあり、感染発覚後 15時間程度で元の状態に戻したとのことです。その後、事態の深刻さと影響の大きさに気づき、この経験をきっかけに、さらにセキュリティ体制を強化する決意を新たにしたそうです。
1-2. Maersk社の被害想定額は $300M(3億ドル)
フォーブス誌の記事によると、Maersk社の感染に対して費やした費用は $200M~$300M(2億ドル~3億ドル) に相当するとのことです。昨年対比で売上高が $8.7 B(87億ドル)から $9.6 B(96億ドル)に増加する一方で、NotPetya に関連した費用は、$264 M (2.64億ドル)四半期分の損出として計上しています。
今回の感染で、情報漏えいは発生していないので、もし、漏えいが発生していたらさらに損害額は増加しただろうとのことです。また、専門家の間では、NotPetya は従来型のランサムウェアではなく、データ破壊を目的としたマルウェアの一種 ワイパーと認識されつつあり、漏えいに繋がらなかった点が幸いしたようです。
※ Not Petya とは
WannaCry の直後、Petya という新たなランサムウェアが発生、その亜種として Not Petya が発生しました。Petya の場合、感染するとOSが起動する前に、ハードディスク自体を暗号化してしまう、もっと厄介なタイプのランサムウェアですが、NotPetyaはランサムウェアではなくディスクを消去するワイパーであることが判明しました。
このパネルセッションは、英語ですが、YouTubeで見ることができます。重要な世界的なリーダーがサイバーセキュリティに関しての対策をディスカッションしている興味深い内容です。
YouTube動画:Securing a Common Future in Cyberspace
1-3. サイバーセキュリティ、世界レベルで試行錯誤中
IT活用がビジネス変革に欠かせないものになった今、サイバーセキュリティ対策は避けては通れないトピックであることは明らかです。
ダボス会議では、感染することを前提に、どのような対策をとっていくべきか、世界的なリーダーが討議をしています。もちろん、正しい正解やアプローチを模索している状況であることは間違いありません。
昨年のランサムウェアの世界的大感染をきっかけに、従来のサイバーセキュリティ対策への取り組み方が変化し始めているようです。特に、パネルディスカッションでは、今までの対策はリアクティブ (受身) な対策で、これからはプロアクティブ な対策に取り組んでいく必要があるとして、パネルメンバーの見解は一致しているようでした。
1-4. リアクティブから、プロアクティブな対応への挑戦
プロアクティブな対策として、世界的なサイバー攻撃に対して、新たに、何らかの情報共有や連携する世界的な仕組みが必要との議論が進んでいきます。特に、民間企業だけでの対策には限界があり、民間と国家間での連携の枠組み、さらに国家の枠を超えた取組みで脅威情報の連携に関して議論がされていました。
興味深いのは、民間企業ではできないプロアクティブなセキュリティ対策、例えば、ダークウェブを監視することなどは、行為としてできないため、有効であるが危険が伴うものは、枠組みを決めて国家や国際的な連携関係で取り組むべきではないかとの提案です。世界的なリーダーが、このような具体的に対策に向けて取り組んでいく姿勢には見習うべきものがあるように感じます。今後、世界的な枠組みをどうやって進められるのか、今後の動向に注目したいと思います。
2. 攻撃者の視点からみる: 元北朝鮮ハッカーのインタビュー記事
2-1. 元北朝鮮ハッカーのインタビュー情報
2018年2月12日号 ビジネスウイーク誌では、元北朝鮮のハッカー部隊にいた人物とのインタビューを掲載しています。現在は、韓国に亡命して生活をしている人のようです。この記事によると、北朝鮮がいかに組織的にハッキング行為を行っているかが書かれています。興味深いのは、手段を択ばずに、とにかく金銭を稼ぐことが目的のようです。この人物の場合は、年間 10万ドルのノルマを課せられて、その10%以下が自分の取り分になるそうです。
北朝鮮の国境を越えた、中国東北部に施設があり、そこから活動を行っていたこと、ソフトを違法に入手して海賊版ソフトを配布して稼いだり、オンラインギャンブルサイトをクラッキングして、プレー中の人間の情報を売ったり、オンラインゲームのデジタルアイテムを入手してキャラクターを作って販売するなど、様々な手段で国家のために活動をしている様子が把握できます。彼が所属していた部隊自体は、優秀なハッカーというよりも、自分たちは低賃金労働者の集まりで、日々の食い扶持を得るために、ハッキング活動をしていたとのこと。
2-2. ハッカーの育成と組織
主に、工学系の大学を出たプログラミング能力のある若い人が、ハッカー部隊に招集されるようです。かれらは、北朝鮮国内ではなく、中国、インド、カンボジアなど、北朝鮮と接点のある国々に分散され、ハッキング行為を行うそうです。各自に年間のノルマが課せられて、あらゆる手段でハッキングして金銭を稼ぐことを強要させられるとのこと。ブラック企業のようなものですね。北朝鮮労働党の影の組織 Office 91 と言われるところが司っているそうです。
また、部隊によっては、ひどい衛生環境下で作業をさせられている生々しい記述や、少しでも疑いや反抗的な場合は、本国に戻されて、再教育キャンプや強制労働につかされるといった、生々しい活動の経験が書かれています。
従来のハッカーのイメージとは異なる印象を与えてくれる記事でした。効率よく金銭を稼げる行為は、今後も継続して続くことでしょう。より効率的な手段を、様々な手法や機会をつかって行われることでしょう。この部隊以外にも、高レベルで、忠誠心の高いハッカー集団も存在していることも語られています。
出典:February 12, 2018 Bloomberg Businessweek – I was a North Korean hacker.
3. 世界的な枠組みが求められる、これからのサイバーセキュリティ
サイバー犯罪を国家主導で活動を繰り返しているということは、今後も金銭目的での攻撃は後を絶たないでしょう。今後の傾向として、より効率のよい手段に移行していくことは自然の流れでしょう。
ダボス会議での Maresk社のような巨大な国際企業が感染した際に、被るダメージの規模は、相当に大きいことが想像できます。同社は、非常に迅速な復旧を実現できましたが、もし、違う巨大企業が攻撃されたら、どんなことになるか。どの程度、対応できるものか、個々の民間企業での対策や対応は、事業継続リスクという観点からも問われているように思えます。同時に、民間企業ごとに対策では限界の部分をどうやって連携をはかり、セキュリティ体制を構築するかは、これからの国際的な課題です。
企業と国家、さらに国家を越えた、何らかの国際的な連携、しかもサイバー空間という特性にあった、実務的なセキュリティの枠組みが求められているのが現状です。
瞬時に繋がるインターネットの世界は、同時に、瞬時に感染が拡がる危険性もはらんでいるのですから。
著者:マカフィー株式会社 マーケティング本部
