サイバーリスク：影響を最小化するためには

身代金要求型の手口とは

10月下旬、英インターネット電話サービスプロバイダーがアクセス集中によりサービスを停止させるDDoS攻撃に遭い、4時間にわたってサービスが停止した。^*1
これまでにもソフトウェア会社がサイバー攻撃を受けたことで、その会社のソフトウェアを利用していた企業に被害が拡大したり^*2、燃料パイプラインの会社がサイバー攻撃を受けたことで、ガソリンスタンドから燃料が枯渇したり^*3といったケースを紹介してきたが、今回も同様に、インターネット電話を利用していた顧客企業で電話が使えなくなったことで被害は各方面に波及している。
尚、本稿執筆時点においては同社へのDDoS攻撃が継続しており、断続的にサービス停止が続いている状況である。

ところで、DDoS攻撃と呼ばれるサイバー攻撃そのものは目新しいものではない。しかし、マル”ウェア”に感染したIT機器を元に戻したければ、身代金（”ランサム”）を支払えと要求してくる「ランサムウェア」と同様に、近年ではDDoS攻撃を止めて欲しければ身代金を支払えと要求してくる身代金要求型のDDoS攻撃が目立つ。

特徴的なものとしては、3年前に日本の金融セクターの特定業種を狙ったDDoS攻撃が立て続けに発生した事件があった。
最初は短時間だけサービス停止させるような攻撃を特定業種の複数企業に対して行うことで横のつながりがある業界を恐怖に陥れ、次は本格的な攻撃を仕掛ける予定なのでそれを防ぎたければ身代金を支払えと要求するものであった。

また、今年に入ってからも、ランサムウェアによる身代金の支払い要求を無視し続けていると、次はDDoS攻撃を仕掛けることで更なる要求をしてくるといったケースも目立つ。

きっかけは様々ではあるが

身代金要求型サイバー攻撃の多くでは、ビットコインなどの暗号資産を用いて身代金支払いを求めてくることが多い。
この「暗号資産」というキーワードを元に少し視点を変えて話題を拡げていくと、身代金の支払いだけでなく違法物品の売買などにも暗号資産が用いられていることがある。

欧州刑事警察機構のユーロポールと米国司法省、また9カ国の法執行機関の連携による国際作戦によって、ダークウェブ上で違法物品の売買に関与していた150人が10月末に逮捕された。その大半は麻薬密売人だった。^*4
この際、234kgの薬物と45の銃器と共に、現金と暗号資産によって合計2,670万ユーロ以上（およそ35億円）が押収されている。

また、暗号通貨を求めているのは何も悪意ある者だけではない。暗号通貨に関連した儲け話などの話題で金銭を詐取する詐欺行為による被害は、今年の最初の9ヶ月間で1億4600万ポンド（およそ220億円）にもおよぶことがロンドン市警への取材から明らかになったとBloombergが報じている。^*5

このような偽の儲け話は、フィッシングメールやメッセージングアプリだけでなく、出会い系サイトなどを介して持ちかけられるなど、そのきっかけは様々ではあるが「人」がリスクを招く要因となることはしばし起こっている。

影響を最小化するためには

9月に米NIST（国立標準技術研究所）がランサムウェアリスク管理のためのサイバーセキュリティフレームワーク・プロファイルのドラフトを公表した。^*6このドラフトにおいても、”ソーシャルエンジニアリングについて従業員を教育する。”といった取り組みの必要性が記されている。

例えば、正規の組織がメールなどを介して個人情報を求めてはこないということを知ることは重要なことである。日本であれば、内閣府がメールでマイナンバーを尋ねることは無いといったところだろうか。これ以外にも判断が曖昧な組織や情報の種別などは多くあるので、これらを明確にすることは有効な手立ての一つであると考えられる。
また、どれだけ注意深く警戒していたとしても、誤って悪意のあるリンクをクリックしてしまったり、悪意のある添付ファイルをダウンロードしてしまったりということは常に起こり得る可能性がある。
そこで、これらの状況に陥った場合に影響を最小化するためには、どのような方法があるのだろうか？

フィッシング詐欺やソーシャルエンジニアリングなどでしばし窃取されているのは、ログインのためのIDやパスワードなどの資格情報である。そのため、窃取された情報のみでのアクセスを困難にするための手段として多要素認証（MFA）の導入が多くの場面で推奨されている。
実際、マイクロソフト社などはMFAを使用することを顧客にアドバイスすると共に、再販パートナーには使用することを要件として求めている。サイバー保険への加入などにおいても、しばしMFAの使用を尋ねられる。

未然に気付くことができたなら

以前であればフィッシング詐欺の文面も不自然な文面であることが多かったので、比較的気付きやすいものではあったが、最近では違和感の無いものとなっていることが多い。更に、特定の個人に向けて文面を作成した、より巧妙な手口も目立ってきている。そのため、要求に応じる前に一呼吸おくことが重要である。

もし疑わしいメールなどに気付いたら、自社の適切な担当者に報告することをお勧めする。このような対応は組織によって必須で求めている場合もあるが、フィッシングなどが仕掛けられる場合、同僚も狙われていて同じようなメッセージを受け取っていることも多いためだ。
そのためにも、疑わしいメールに気付いた時だけでなく、万が一悪意のあるリンクを開いてしまった時でも、迅速に報告できるような風通しの良さと、誰に報告すべきかといったことを明確にしておくことが重要である。

GDPR（EU一般データ保護規則）などでも、データ保護のための施策として「技術的対応」と「組織的対応」の重要性について再三述べている。
つまり、サイバーリスクとは技術的な脆弱性にとどまらず、人的要因によってもたらされることも多々あるのだ。

今一度、人的な面からの組織における対応についても見直される機会とされたい。

^*1 https://www.voipfonestatus.co.uk/

^*2 https://www.willistowerswatson.com/ja-JP/Insights/2021/08/crb-nl-august-adachi

^*3 https://www.willistowerswatson.com/ja-JP/Insights/2021/06/crb-nl-june-adachi

^*4 https://www.europol.europa.eu/newsroom/news/150-arrested-in-dark-web-drug-bust-police-seize-%E2%82%AC26-million

^*5 https://www.bloomberg.com/news/articles/2021-10-18/crypto-fraud-costs-more-than-200-million-this-year-u-k-police

^*6 https://nvlpubs.nist.gov/nistpubs/ir/2021/NIST.IR.8374-draft.pdf