規模なサイバー攻撃に見舞われた、出版大手のKADOKAWA。同社は7月29日、柱の出版事業について8月から段階的に出荷数量の回復を見込むと発表した。子会社のドワンゴでは、6月8日以降利用できなくなっていた「ニコニコ動画」などのサービスを8月5日から再開するという。
長期間のサービス停止に伴い、ドワンゴは6~8月度のプレミアム会員の月額会員費などを返金する方針だ。漏洩された情報の確認作業も進めているといい、いまだグループ全体における被害の全容は明らかとなっていない。
突然のサービス停止、経営陣の動画での謝罪、そして情報流出に至るまでの様子が、センセーショナルに報じられた今回の事件。日本企業が教訓とすべきことは何か。
サイバー攻撃から企業などを守る「ホワイトハッカー」として活躍する、GMOサイバーセキュリティbyイエラエのGMOサイバー犯罪対策センター局長、福森大喜氏と、日本ハッカー協会代表理事の杉浦隆幸氏に話を聞いた。
今回の事件が世の中に知らしめたこと
――KADOKAWAがサイバー攻撃の被害を受けてから2カ月近く経ちますが、今も完全復旧には至っていません。
【写真で見る】”ホワイトハッカー”の福森大喜氏。インターポールでサイバー犯罪捜査などに携わってきた
GMOサイバーセキュリティbyイエラエ GMOサイバー犯罪対策センター局長 福森大喜氏(以下、福森) 今回は身代金を一部払ったと報じられているが、攻撃者から(暗号化されたデータを)復号するための鍵は戻らず、情報も公開されてしまった。自分たちでゼロから復旧しないといけないから、時間はかかるだろう。
KADOKAWAの事件は世の中に対して、1つの教訓となった。報道が正しければ、今回身代金で5億円近くを払ったのに、データは戻っていないわけで。身代金を払ったところで、それだけの見返りがないということを多くの人が知ったのではないか。
数億円を払って一か八かの賭けに出るというのは、分の悪いギャンブルのようなもの。割に合わないだろうって、冷静に考えればわかる。でも慌ててパニック状態になると「もしかして自分はこのギャンブルに勝つ確率があるかも」「戻る可能性が少しでもあるなら試してみたい」と思いがちだ。
攻撃を受けた場合、身代金の要求にはこういう対応をする、社内のサーバーはこういう手順で復旧し、どの部署が動くようにする、などといったシミュレーションを日頃から行っておくことが重要だ。
――そもそもなぜKADOKAWAが標的となったのでしょうか。
福森 ハッカー集団はKADOKAWAに狙いを定めたというより、たまたまKADOKAWAが入れる状態だったからだろう。
例えばオンラインサービスが主力商材の企業は、サイバー攻撃によりサービスを停止させられるなどしたら、ビジネスの継続が困難になって致命傷を負う可能性がある。
では、オンラインサービスを主力としている企業だけがサイバー攻撃の標的になるかというとそうではない。ランサムウェアでいうと、攻撃者としては身代金を払ってくれればどこでもいい。業種や業態、規模を問わず、攻撃が刺さればその企業に攻め入っていく。
――KADOKAWAの防御体制が甘かった、ということでしょうか。
福森 現時点では、既知の脆弱性(セキュリティ上の欠陥)を突かれたのか、「未知の脆弱性」(アプリケーションやOSなどに存在する、ベンダーが認識していない脆弱性)を突かれたのか、原因が公表されていないのでわからない。例えばKADOKAWAがパッチ(修正プログラム)を当てるのが遅かったから、被害が拡大したのか。あるいはパッチは最新版にしていたけれど未知の脆弱性にやられた、という可能性もある。
いつどこの会社が同様の被害にあってもおかしくない。攻撃者は攻撃の仕方を日々研究していて、ベンダーがパッチを出したらそのパッチを解析し、どこをどう攻撃すれば成功するのかを24時間体制でウォッチいるような状況だ。
どの段階でKADOKAWAが気づいたのかわからないが、データが暗号化される前にマルウェアを見つけられるケースも多い。いちばん大切なのは、気づいたら暗号化されないうちに被害を食い止めることだ。
被害を抑える2つの事前対策
――日頃からどんな手立てを打っておけば、被害を最小限に抑えられますか。
福森 1つは社員の端末にセキュリティ制御の仕組みを入れて、不正なプログラムを検知した時点で、ネットワークから自動的に隔離できるようにすること。そうすれば、ファイルサーバーには感染が広がらず、被害をその1台だけで食い止められる。
もう1つは、(サイバー攻撃で狙われやすいとされる)VPNがどこで使われているかを会社が把握しておくことだ。
リモートワークが浸透して、各部署が勝手にVPNを使い始めているといったケースが結構ある。本社はしっかりしていても、海外の小さな支社がVPNをきちんとアップデートしていなかったという事例も多い。VPNを使うときは、どの製品のどのバージョンを使用しているかを把握し、新しいバージョンが出たときには24時間以内にアップデートする、などといった資産管理を徹底しないといけない。
また、よくあるのが、怪しいファイルが来たときに社員が勝手に消してしまうこと。消してしまうと専門家が後から調査できなくなるので、怪しかったら消さずにシステム管理者に連絡する。なりすましのメールが来て、それを開いてしまったときにどういう対応をするか、などといった日頃の訓練は役に立つだろう。
――KADOKAWAの初動対応をどう評価していますか。
日本ハッカー協会 代表理事 杉浦隆幸氏(以下、杉浦) 侵入されていることに気づきながら、追い出しきれなかった点ではだめだった。2カ月近く事業がストップしていることも考えると、重症度は高いと言える。
KADOKAWAは自社でシステム基盤を作っている。技術力はあるものの、セキュリティとシステムは違う。とくにバックアップ体制を作るのは専門家でないと難しい。セキュリティにはあまり力を入れていなかったのだろう。
システムを外注していれば、ある程度バックアップ体制が作られることが多い。バックアップ体制が取られていれば復旧はもう少し早い。昨年、ラスベガスでカジノホテルを運営するMGMリゾーツが大規模なランサムウェア攻撃を受けたが、バックアップを取っていたので復旧は早かった。
今回攻撃を受けたKADOKAWAの仮想化基盤には、ヴイエムウェアの製品が使われていたとされる。ヴイエムウェアは昨年のブロードコムによる買収後、無料だった製品が有料化されたり、受発注業務が滞ったりしており、さらに脆弱性も発見されていた。この脆弱性も放置されていたのではないか。
ハッカーは反社やテロリストではないので、身代金を支払うこと自体は違法行為ではない。グローバルでは払われることが一般的だ。ただ、払ったことは公言されない。いくら払ったと言うと、無駄に(サイバー犯罪の)業界を刺激してしまうからだ。
国内では専門家が足りていない
――日本企業のサイバーセキュリティ対策に課題はありますか。
杉浦 堅牢なシステムを作っても、それ自体がお金にはならず、事件が起こらない限りは評価されない。セキュリティ対策をすることで例えばテレワークができるようになるなど、利便性を向上させることができる。このような形でセキュリティ対策はきちんと価値を生んでいるはずだが、間接的なのでわかりにくい。
どのようなセキュリティ体制を取るかについては個社の判断だが、上場企業でも非IT系企業を中心に、そういった判断をできる人がいないケースは珍しくない。最初はバックアップをきちんとやっていても、年々おざなりになって(サイバー攻撃後に)復旧できないことも多い。
ただ、経営者がきちんとニュースや情報に日頃から接していれば、危機感は持つはずだ。あとは専門家の数が重要だが、セキュリティの専門家は足りていない。アメリカでは余っているほどだが、国内では待遇が良くないわりに、資格の維持にお金がかかるという背景がある。
――KADOKAWAの事件を受けて、日本企業はどのようなことを教訓にすべきですか。
杉浦 インターネットにつながっているものはすべて狙われる。上場企業や、従業員が1000~2000人規模の会社なら、1人は常勤のセキュリティ担当者を置くべきだ。そして、その人の判断と責任でシステムやネットワークを止められる権限を持たせることが重要だ。
KADOKAWAの場合はシステム基盤がとても大きいのでさらにその必要性は高かった。それが機能していれば、暗号化される前に止められたはずだ。ただし、体制を整えてもすぐに成果は出ない。最低2年くらいはかかるだろう。
基本を押さえれば9割の攻撃は防げる
セキュリティの対応には、技術面とマネジメント面の両方の施策が求められる。
技術面では、外部から一発で入れるような脆弱性が常にない状態を保つ必要がある。そのためには、各システムの弱点をきちんと把握して対処しなければならない。マネジメントでは、一般の従業員のミスを防ぐ施策を考え、やっていいこととやってはいけないことに分けて、違反者が出ないような仕組みを作ることが肝要だ。
重要なシステムほど、アップデートによって動かなくなるリスクを恐れてアップデートが後回しにされがちだが、きちんとアップデートする、適切なパスワードを設定するという基本を押さえていれば、サイバー攻撃の9割以上は防げる。
田中 理瑛:東洋経済 記者
真城 愛弓:東洋経済 記者