危機管理者として、マルクス・ウェーバー氏はすでに多くのサイバー攻撃を経験しています。it-sa 2025の枠組みの中で、私たちは彼にその経験について話を伺いました。
dokuworks GmbH
ウェーバーさん、危機管理者として、攻撃がすでに発生した後に企業に呼ばれることが多いと思います。最初のステップは何ですか?
ウェーバー:まず技術的な観点から最も重要な対策が取られているかを確認します。例えば、ITシステムがネットワークから切り離され、保護されているかどうかです。これによってITフォレンジック担当者が後から適切に作業できるようになります。
その後、恐喝文書を確保しようとします。これによって、誰が攻撃の責任者かを素早く特定できます。多くの場合、犯人の手口もそこから読み取れます。
私たちは被害者のことをほとんど知らないため、まずは企業について調べます。これにより、攻撃の規模を把握します。重要なのは、今後数日間で生産やサービスの停止が予想されるかどうかです。その後、緊急対応体制が開始されます。
ランサムウェアは企業にとって最大の脅威であり続ける
つまり、あなたのケースのほとんどはランサムウェア攻撃ということですか?
ウェーバー:もちろん、フィッシングメールによるアカウント乗っ取りなど、小規模なセキュリティインシデントも報告されます。しかし、大規模なサイバー攻撃の場合、たいていは暗号化されたデータによる恐喝です。
そのような状況でも冷静でいられるのはなぜですか?また、企業内でパニックが起きないようにするにはどうしていますか?
ウェーバー:私は危機的状況に対処するのが得意だと思っています。危機管理者向けのさまざまな研修も受けましたが、基本的には必要な気質を持っていることが大切です。加えて、影響を受けたお客様に対する適切な感覚も必要です。
特にオーナー企業の場合は、経営陣と密接に連携しながら危機から脱することができます。しかし、大手中堅企業や大企業も私たちの顧客です。ここでは、経営陣と一体感を持つことが特に重要です。
調査によると、いまだに多くの企業が身代金を支払っているそうですが、あなたの顧客にも当てはまりますか?
ウェーバー:私の顧客で身代金を支払うのはごくわずかです。私たちも身代金の支払いは推奨していません。ただし、例外もあります。実際に身代金を支払うしか選択肢がなかったケースがありました。その時は犯人がITインフラの大部分を破壊し、バックアップも残っていませんでした。
そのため、私はハッカーグループと協力してデータを取り戻しました。もちろん、そのような場合はデータが復号化された後、すべてを新たに構築し直さなければなりません。しかし、少なくともデータは手に入ります。このようなケースは幸いにも非常に稀です。
企業は緊急時の組織体制を軽視している
多くの企業がランサムウェア対策でつまずいているのはどこですか?
ウェーバー:多くの企業が依然として攻撃への備えが不十分であることに気づきました。危機対策チームのメンバーが誰なのか分かっていない企業も多いです。他にはサイバー保険に頼りきりの企業もあります。
しかし重要なのは、事前にITサービスプロバイダー、危機管理者、ITフォレンジック担当者のネットワークを構築しておくことです。これが最初の48時間で非常に役立ちます。
技術的には多くの企業が強化を進めていますが、緊急時の組織体制については十分に取り組んでいません。多くの企業はドキュメント作成の手間を恐れています。しかし、これは危機的状況を乗り越えるために非常に重要なステップです。
これまでで最も興味深かったケースは何ですか?
ウェーバー:どのケースも異なりますが、特に印象に残っているものが2つあります。ある経営者の場合、その出来事が深刻な健康問題を引き起こしました。そのため私は家族生活にも深く関わることになりました。
もう一つは食品分野でのサプライチェーン攻撃でした。その時、犯行グループがいかに攻撃的だったかを実感しました。最初にデータが暗号化され、抜き取られました。
次に攻撃者はウェブサイトを攻撃しました。その後、顧客にも連絡がありました。私たちサービスプロバイダーも攻撃されました。攻撃はサプライチェーン全体に影響を及ぼし、サプライヤーから顧客、そして食品棚にまで及びました。攻撃者の巧妙さには感心すると同時に、恐ろしさも感じました。
