出典: tbbstudio / Shutterstock
ランサムウェア攻撃により事業が停止してから2カ月以上が経過した現在も、日本の食品・飲料大手アサヒホールディングスはバックオフィス業務の混乱に苦しみ続けており、最近になって190万人に影響する可能性のあるデータ侵害を認めざるを得なくなった。
同社は、日本企業の中で孤立した存在ではない。
日本のオンライン小売業者アスクルは今週、攻撃を受けたことを公表してから6週間以上を経て、法人顧客からの受注を再開すると発表したが、依然として出荷の遅延が報じられており、個人顧客からの注文には応じないとしている。このオンライン小売業者の停止は、ミニマルな家庭用品を販売する無印良品のオンラインストアなど、他の企業にも影響を及ぼし、販売を停止せざるを得なくなった。
これらの事案は総じて、日本企業がランサムウェアからの復旧において長期的な影響に苦しんでいることを浮き彫りにしている。特に被害企業が身代金の支払いを拒否した場合、その傾向が顕著だと、サイバーセキュリティ企業トレンドマイクロの脅威インテリジェンス担当バイスプレジデント、ジョン・クレイ氏は指摘する。
「マシンの再構築には時間がかかる可能性があります。IT部門がこれらのシステムに物理的に、しかしそれ以上にリモートでどれだけ効率的にアクセスできるかに左右されます」と同氏は述べる。「こうした要因すべてが復旧の大幅な遅れを招き得ます。そのため場合によっては、復号鍵を入手し、システムやデータへのアクセスを取り戻すために、組織が身代金を支払うこともあるのです。」
日本企業は依然としてサイバーセキュリティへの対応に苦慮している。攻撃者はIvantiのConnect Secure仮想プライベートネットワーク製品の重大な脆弱性を悪用して日本企業を標的にしており、今夏の時点でも多くが未パッチのままだった。日本企業や政府機関は、全体として攻撃の増加に直面しており、最近成立した、ネットワーク防御の名の下により積極的な対抗措置を認める法制度にもかかわらず、その状況は続いている。
世界第4位の経済規模を持ち、多くのサプライチェーンの起点となっている日本は、サイバー犯罪者にとって主要な標的だと、認証情報管理企業Keeper Securityの最高情報セキュリティ責任者(CISO)、シェーン・バーニー氏は語る。
「ランサムウェアグループが日本に注目しているのは、日本の産業がグローバルなサプライチェーンの中心に位置し、ほとんど余裕のない状態で運営されているからです」と同氏は言う。「攻撃者の視点から見ると、それはインシデントを迅速に解決せざるを得ないプレッシャーを生み出し、彼らの交渉力を高めることになります。」
日本は攻撃を受けているのか?
一部の企業は、日本を標的としたサイバー攻撃の全般的な加速を確認している。たとえばサイバーセキュリティ企業Sophosは、過去4年間で200件以上の日本企業のランサムウェア被害を確認しており、そのうち72件は直近1年間に発生しており、攻撃の加速を示している。
しかし、国家としての日本が特別に狙われているわけではないと、Sophosの脅威調査チームディレクター、クリス・ユール氏は述べる。むしろ、日本は世界的なランサムウェア攻撃の増加という全体的な流れの影響を受けているのだという。過去12カ月間の日本のランサムウェア被害者数は、その前の12カ月と比べて3分の1(35%)多い。しかし、世界全体でも同様の傾向が見られ、ランサムウェア被害者数は3分の1(33%)増加していると同氏は指摘する。
「ランサムウェアグループは機会主義的であり、脆弱で、かつ支払う可能性が高い組織であればどこでも攻撃します」とユール氏は言う。「特定の地域や市場セクターを狙っている兆候は見られませんが、ニュースで大企業の被害が続くと、一種のトレンドのように感じられることがあります。」
備えある者に幸運は訪れる
この傾向は今後も続く可能性が高い。サイバー攻撃者やランサムウェアグループは北米や欧州への攻撃を終えたわけではないが、アジア太平洋地域は、成熟度の低いセキュリティ管理やプロセス、十分に検証されていないインシデント対応・復旧プレイブック、そして複雑なレガシー環境を抱えていると、侵害復旧サービスプロバイダーFenix24の共同創業者兼CISO、ヒース・レンフロウ氏は指摘する。
「脅威アクターは、復旧コストが高く、業務中断の可能性が大きく、レジリエンスのギャップが予測しやすい地域に引き寄せられます」と同氏は言う。
アサヒホールディングスのような製造業は、オペレーションの中断に対して脆弱になりがちだ。
最終的には、企業が攻撃に対して脆弱であり、かつ迅速な復旧のために身代金を支払う意思がある限り、サイバー犯罪者はそうした企業を標的にし続けると、Sophosのユール氏は言う。バックアップを用意するだけでなく、定期的に復旧演習を行い、重要資産の状況を評価している企業は、最も早く復旧でき、身代金を支払う必要もなくなる。
「準備が鍵であり、組織が事前にしっかりと取り組んでいる場合、我々が被害企業の対応支援に入ったときの違いは歴然としています」と同氏は述べる。「ITインフラ全体が利用不能になった場合の計画を把握しておく必要があります。誰が指揮を執るのか、どうやってコミュニケーションを取るのか、どのような意思決定を、いつ行う必要があるのか、といったことです。」
