2021/09/19

本当に「前例はない」のか ニップンが“決算延期”に陥った大規模攻撃の教訓(転載)~大切なのは基本的な対策(バックアップ、パッチ適用)を淡々と着実に実施すること~


先日、製粉大手のニップンが、サイバー攻撃を受けて発生したシステム障害の詳細を明らかにした。ニップン本体のファイルサーバの他、グループ企業も利用している財務会計システム、販売管理システムなどが被害に遭い、多数のファイルが暗号化され、起動できなくなった。オンラインバックアップも被害に遭い、サーバの早期復旧が困難となった結果、2021年4~6月期の決算報告書の提出を、約3カ月延期する事態に陥った。

公表された資料では、サイバー攻撃がどのような経路で行われたか、またファイルの暗号化はいわゆるランサムウェアによるものか、それとも何らかの手段で遠隔操作されたのかなど、詳しい手法は明らかにされていない。ただ、影響範囲の大きさからか、調査や対応支援に当たった外部専門家は「これほど広範囲に影響を及ぼす事案は例がなく」と表現している。

だが見方によっては、実際には前例はあったともいえるのではないだろうか。というのもこの数年、サイバー攻撃を受けてメールサーバが停止したり、工場やプラントの操業が停止に追い込まれたりと、自社やパートナー企業、顧客、ひいては社会に大きな影響を与えるセキュリティ事故はたびたび発生してきたからだ。

最近でいうと、ランサムウェアによる被害が典型例だろう。

セキュリティ関連のニュースに興味を持っている人ならば、ランサムウェアという言葉は、おそらく耳にしたことがあるだろう。昨年ごろから目立つのは、国内外の企業を対象に攻撃を仕掛け、社内に保存されていた個人情報や機密情報を盗み出し、「ネット上でこれらの情報を公開されたくなければ引き換えに金銭をよこせ」と要求するランサムウェアだ。

もう少しさかのぼってみよう。3~4年前に流行したのは、Windowsの脆弱(ぜいじゃく)性を突いて感染を広げる「WannaCry」と呼ばれるランサムウェアだ。感染すると周辺の端末やサーバのデータを暗号化し、システムが立ち上がらず、ファイルも見られないような状態にしてしまい、「もしファイルを元に戻してほしければ金銭をよこせ」と要求するものだ。

このときも、海外のさまざまな組織・企業はもちろん、日本企業も被害に遭った。被害を公表した中には、メールシステムに障害が生じて顧客とのコミュニケーションに支障が生じたり、生産に影響が出たりしたケースが含まれており、バックアップデータを基にシステムを復旧するのに多くの労力が費やされた。

その後もランサムウェアは継続的に、それもややターゲットを絞ってカスタマイズされて、企業を襲い続けている。2020年前半にもランサムウェアの被害に遭った日本企業が、数日間工場の操業を停止したケースが報じられた。海外では米石油パイプライン大手のColonial Pipelineがランサムウェアの被害に遭い、全てのパイプラインの操業を一時停止し、社会的な混乱を招いたケースが報じられている。

今回のニップンのサイバー攻撃は、ランサムウェアによるものとは明言されていないが、生じた影響という意味では過去にも似たようなケースは多々発生している。対象がメールか、工場を制御する生産制御システムか、あるいは財務会計・販売管理システムかの違いはあるが、本質的には「事業を動かすシステムが何らかの原因によって動かなくなり、甚大な影響が生じてしまった」ことに変わりはない。

一方で、DX(デジタルトランスフォーメーション)の進展や人手不足を補うためのシステム化により、事業のITへの依存度はますます高まっている。もしそれらが健全に運用ができなくなれば、問題は「個人情報が漏えいしてしまってご迷惑をおかけした」という話では済まない(それでも十分に大事だが)。もはや「仕事にならなく」なってしまうだろう。

つまりサイバー攻撃は、データの機密性や完全性だけでなく、事業の可用性に大きな影響を与える恐れのある経営問題として捉えなければならない。となると、IT部門任せではなく経営者の関与が不可欠だ。

ただ悩ましいのは、それ以外にも、企業を取り巻く脅威はさまざま存在することだ。ちょっと前に日本で猛威を振るった「Emotet」をはじめ、実在する組織や人物になりすましたメールを送ってユーザーをだますサイバー攻撃は、手を変え品を変えやってくる。

また、OSやWebブラウザなど汎用的なシステムだけでなく、セキュリティ機器や資産管理ツール、サプライチェーンのつながりを狙ったより高度な標的型攻撃も留意しなければいけない。その上、8月頭に報じられた、警視庁職員が26万人分の運転免許証データを削除した事件のように、内部関係者による犯行も考えられる。

あれもこれもとリスクが考えられる中、一体何から手を付ければいいか分からない、といった悩みが生じるのも無理はない。だが、答えはシンプルだ。

個々の事件に右往左往することなく、淡々と基本的な対策を実施し、かつ、対策が有名無実になっていないかを確認し続けていくことしかないだろう。もちろん予算は有限だから、まずは「自社にとって大事なもの」「絶対止まってはいけないもの」を見定めて、順に基本的な対策を取っていくしかない。この優先順位を決めるのも、やはり経営層の関与なしには進められない。

その次のステップは、自社が管理するIT資産を洗い出し、それらに存在する脆弱性の管理・修正を行うことだ。同時に「万が一」はあり得るという前提に立って、そのときどうシステムを復旧するかを考える次善の策も不可欠だ。

例えば、データ破壊というリスクに対してはバックアップ、それも重要なデータについてはオフラインでのバックアップを取得し、いざというときにきちんとリカバリーするための手順作成とリハーサルが重要となる。これらは常々、情報処理推進機構(IPA)が発表している「10大脅威」をはじめ、さまざまなレポートで対策として挙げられてきたことだ。

またマルウェア侵害や内部犯行に対しては、海外も含む拠点単位でのアクセス制御、必要以上の操作ができないようにする権限管理、なりすましを防ぐ強固な認証……といった事柄が重要になってくる。はやり言葉ではあるが、最近しばしば言われる「ゼロトラストセキュリティ」が提唱する事柄にも通じる部分がある。

どうしても「前例がない」といわれると、とても対策などありえない恐ろしい攻撃のように思われてしまうが、コンピュータシステムというものの本質が数十年変わっていない以上、よくよく見ていくと前例は必ずある。そうした過去の例から本質をつかみ、基本的な対策を実直にやっていくことが何よりも重要だろう。

近年、全国各地で「数十年に一度」といわれる深刻な災害発生の危険度が高まり、命を守る行動を取るよう呼びかけられることが少なくない。

その際役に立つのは、自分のいる場所がどのくらいリスクにさらされているかを示すハザードマップと最新の正確な情報。そして、備蓄や避難経路の確認といった普段からの備えだ。さらにもう一つ大事なのは、過去に起こった災害に人々がどう対処したかを知ることだろう。

前例のないように思える災害でも、似たような地形の別の場所で似た災害が起こっていたりする。過去の例を知っていざというときに備えることで、自分にとっては未知の災害でも対処し、かけがえのない人命や財産を守れるだろう。

同じことが、サイバー攻撃への備えにもいえるのではないだろうか。過去のインシデントや事故に学び、自社のリスクを知り、情報を収集し、いざというときに備えて対策や対応体制、手順を整えることで、被害を最小限に抑えてビジネスを継続することができるだろう。

ただ、自然災害にもさまざまな種類があるように、サイバー攻撃といってもいろいろな手法がある。しかもそれらが重なりつつ、半年~数年といったペースで主流の攻撃手法、注目される攻撃手法が入れ替わっていく。一方で、企業の持てる予算や人的リソースは有限だ。最新の情報に目を奪われてその対策にばかり注力していると、以前からあった攻撃手法に足をすくわれかねない。

「災害は忘れた頃にやってくる」といわれる。これだけ災害が多発すると、直前の災害の記憶によって過去の別の災害の教訓が上書きされ、風化してしまいがちだが、最新の情報は収集しつつもそれに過度におびえることなく、「自社にとって何がリスクか」を軸に冷静に向き合うことが重要ではないだろうか。