サイバーリスク：サイバー攻撃されたシステムの可逆性

遠心分離機を使い “ゆで卵” の絡み合ったタンパク質の分子をほぐすことで、生卵に戻すことに成功した研究者グループがいるそうだ。面白いことを考える人がいるものだとつくづく感心させられるが、これは物質世界では両方向に進むことができるという性質を示したものであり、「可逆性」と言う。

さて、サイバー攻撃によって破壊されたシステムには、可逆性があるのだろうか。

大方の予想通り、多くの場合において元に戻すことは困難だ。
もし、元に戻すことができたとしても、それはサイバー攻撃を許してしまったシステム上の問題も一緒に元に戻してしまうこととなるため、再び同じサイバー攻撃の被害に遭う可能性がある。

周りくどい表現となったが、サイバー攻撃に遭った後では、サイバー攻撃に遭う前よりも良いものが必要になるということだ。サイバー攻撃の被害に遭ってしまうと、ゆで卵のようには元に戻せない。

創造性の高さとプロフェッショナリズム

残念なことに、2月に始まったロシアによるウクライナ侵攻も手伝って、サイバー攻撃は世界的に増加した。10月には米国のアトランタ、LA、シカゴなど少なくとも14の空港で、DDoS攻撃による被害が発生した。親ロシア派のハクティビストによるものだ。

この時被害に遭った空港では、航空機の運航に直接的な影響は出なかった。しかし、飛行機の予約やフライトに関する最新情報を取得することができなくなったことで、利用者や利用する企業などに多くの影響が生じた。

11月には米FBIから、空港を含めた重要インフラ事業者へのサイバー攻撃が目立っているとする報告が公表されている。^*1
そこでは、DDoS攻撃を防ぐための策を全ての重要インフラ事業者に講じるようアドバイスしている。

逆に、親ウクライナ派のハクティビストによるサイバー攻撃でも、ロシアの重要インフラを狙ったサイバー攻撃を積極的に行っており、ロシアの銀行は最も人気のある標的となっている。
実際、親ウクライナ派によるDDoS攻撃によって、ロシアの銀行のウェブサイトが数時間にわたってダウンし、送金やモバイルバンキングの利用などができなくなった。もちろん、ロシアの銀行もDDoS攻撃を防ぐためのセキュリティサービスを導入していたが、親ウクライナ派のハクティビストはそれを迂回して攻撃を成功させている。

サイバー攻撃の被害に遭ったロシアのガスプロムバンクの第一副社長は、9月に登壇したイベントにおいて、ウクライナのハッカーの創造性の高さとプロフェッショナリズムを敵ながら称賛していた。
このように、場合によってはより広範囲に甚大な影響を及ぼしかねない応戦が繰り広げられている。

11月にエジプトで開催されていた気候変動に関する国際会議COP27において、ウクライナのゼレンスキー大統領が戦争で用いられるミサイルが環境を破壊し、地球温暖化を引き起こし、エネルギーの奪い合いを招いていると訴えた。
もちろん、環境に配慮してミサイルをサイバー攻撃に変えるということはないが、サイバー攻撃は軍備を消費せずに済むため、積極的に今後も利用されていくことが考えられる。

どうして分かるのか？

2022年も暮れに差し掛かると、いくつものセキュリティ企業から年次のレポートなどが公開され始める。これらを眺めていくと、それぞれにバラつきはあるものの、ランサムウェア攻撃は対前年比で概ね1.5倍から2倍くらいに増加しているそうだ。

このランサムウェア攻撃であるが、11月に米国司法省が公表した報告書によると、2021年後半に司法省に報告のあった793件のランサムウェア被害のうち、74.9%にあたる594件がロシアからの攻撃だった。^*2そして、被害に伴って発生したコストは4億8800万ドル。当時のドル円は110円くらいだったので、およそ540億円のコストが発生している。当然、被害規模の大小もあるため単純に割ってみるわけにもいかないが、本当に単純計算してしまえば一件あたり7000万円くらいの対応費用が発生しているということだ。

ところで、ここまでの話をお読みいただいていく中で、「どうしてロシアからのサイバー攻撃だと分かるのか？」と疑問に思われた方もおられるかもしれない。残念ながらランサムウェアに製作者の名前がハッキリと書いてあるわけではない。実際、マルウェアが誰によって作られたものかを判別することは困難だ。

ロシアからのサイバー攻撃だと判別するための手掛かりとしては、ロシア語のコードを使用して開発されたものであるとか、ロシアまたは旧ソ連圏の国を標的としないように設定されているといったことなどから推測されたものである。とは言え、それを逆手にとってロシアのフリをした攻撃などもあり、なかなか断定は難しい。

全く何もやってこなかったわけではない

米CISA（サイバーセキュリティ・重要インフラセキュリティ庁）から、ロシアによるウクライナ侵攻に伴って、米国企業がサイバー攻撃を受けることを想定して発行された SHIELDS UPというガイドラインが公開されている。^*3

広く一般的に応用できる内容でもあるので、このガイドラインから４つのポイントを紹介したい。

まず一つ目は、不正侵入が発生した際に、組織が対応するための準備ができているかということを確認すること。

次に、疑わしいサイバーセキュリティ・インシデントに対応する危機対応チームと、テクノロジー・コミュニケーション・法務・事業継続性の確保など、組織内における役割や責任も明示した連絡先を用意すること。
ここでは社内外の専門家への連絡先などもあらかじめ用意しておかれると良いだろう。また、海外現地法人で時折見受けられるのが、連絡先リストは作成されているものの、駐在員の入れ替わりごとにアップデートされておらず、いざという時に機能しないという問題もある。

そして、主要な人員の可用性を確保し、インシデントに対応するためのサージサポートを提供する手段を特定する。サイバー攻撃の被害に遭うと、関係する全ての人たちの負荷が急激に高まってしまう。短期間のうちに見るみる風貌の変わっていかれた方もこれまでおられた。とにかく従業員への負荷が高くなるし、場合によっては過度な負荷の掛かっている方もおられる。そのため、それぞれの負荷状況を把握し、過度な負荷を吸収するためのサポートについても考えておくべきだ。

最後に、卓上演習を実施して、すべての参加者がインシデント中の役割を理解できるようにする。これは避難訓練のようなものだ。実際に演習を行うことで、有事の際に迅速に動くことができるし、何か不足があればそれを知ることもできる。

もちろん、やるべきことはこれだけでは無いが、これらのポイントを押さえながら取り組んでいかれると良いだろう。

これまでサイバー攻撃の被害に遭われた企業や組織が、全く何もやってこられなかったのかと言えばそういうわけでもない。前述したロシアの銀行の第一副社長が述べたように、攻撃者は創造性とプロ意識を持ってサイバー攻撃を仕掛けてくる。
残念ながらサイバーセキュリティを「絶対大丈夫」と断言することは難しい。

出典

¹ Private Industry Notification（Nov.4. 2022, FBI・Cyber Division

² Financial Trend Analysis - Ransomware Trends in Bank Secrecy Act Data between July 2021 and December 2021

³ Cybersecurity & Infrastructure Security Agency -SHIELDS UP