第3回 スペシャリストが解説「サイバー攻撃に直面した社員がとるべき行動」

  • 本記事は2018年9月のメールマガジン配信記事です。

前回は「「教育不足」が原因?仮想通貨「NEM」580億円流出」についてお送りしました。
2018年1月、外部からの不正アクセスによって約580億円分の仮想通貨が流出したという事件。
これは従業員へのセキュリティ教育が行き届いていなかったことが要因の一つとサイバー犯罪対策テクニカルアドバイザー・小出教授が指摘していましたね。そこで従業員が最低限やっておくべき「3つのセキュリティ」について教えていただきました。

3回目はスペシャリストが解説「サイバー攻撃に直面した社員がとるべき行動」についてお送りします。 コンピューターに関する科学捜査「デジタルフォレンジック」を専門に行うスペシャリスト・杉山さんに「サイバー攻撃」を受けてしまった場合の対応方法や間違った初動などについて伺いました。

それでは、 お付き合いください。

1. コンピュータに関する科学捜査
「デジタルフォレンジック」

サイバー犯罪を捜査する「デジタルフォレンジック」という仕事を聞いたことがあるだろうか。
「フォレンジック」は英語で「法廷の」を意味し、デジタルフォレンジックはサイバー犯罪の証拠をパソコンやネットワーク環境から収集し解析する仕事をいう。15年ほど前からデジタルフォレンジックに携わり、現在はデジタルフォレンジックスチームであるFTDSの日本エリアリーダーを務める杉山氏は「ひとことで言えば、デジタル環境全体の鑑識捜査員」と説明する。

コンピュータに関する科学捜査「デジタルフォレンジック」

デジタルフォレンジックに従事する専門家は、全国に100人程度だが、そのニーズは年々高まっているという。
警察庁の統計によると、2017年のサイバー犯罪の検挙件数は9014件(前年比+690件)で過去最多。
相談件数は13万11件と高い水準で推移している。杉山氏は「これからの時代はサイバー攻撃の標的にされることを前提に対策しなければなりません。アンチウイルスソフトを導入していても、油断すると被害に遭いかねないのです」と警鐘を鳴らす。

2. 「正しい対応したはずなのに…」感染後に被害が拡大した理由

杉山氏によると、サイバー事故の課題は技術面ではなく「人材・組織づくり」にあるという。

サイバー攻撃を受けた場合の対応指針は、たいていの企業が備えているだろう。
しかしその対応で十分だろうか。近年のサイバー攻撃では「横展開」と呼ばれる社内・組織を標的にした一斉攻撃が主流。しかし「横展開」に対する認識が不足していたため感染後の初期対応を誤り、被害を拡大させるケースが目立っていると杉山氏は指摘する。1件の個人情報漏えい事件について見てみよう。

ある特殊法人で1台のパソコンがアンチウイルスソフトに反応した。担当者はマニュアル通り、パソコン端末をネット環境から切り離し、あやしいデータをセキュリティ会社に送った。ウイルスを検出、解析してもらい、アンチウイルスソフトを最新版に更新して対応を終えた。しかしその後感染は拡大し、大規模な流出事故を起こしてしまったのだ。

「正しい対応したはずなのに…」感染後に被害が拡大した理由

「1台感染したら、つながっている組織内のパソコンも感染していると想定すべきでした」と杉山氏は説明する。
企業や組織を狙った「横展開」のサイバー攻撃は、関連するシステムに一斉に仕掛けられる。
そのためウイルスが露見した1台だけ対処しても、そのシステム内ではすでにアンチウイルスソフトに引っかからなかったウイルスがまん延して任務を遂行し、大きなインシデントを引き起こしている可能性が高いという。

3. 「大誤算」サイバー攻撃に直面した社員の間違った行動

従業員の認識不足から生まれる誤対応は他にもある。杉山氏がよく出合うのは「立ち入り禁止の黄色テープで保全されていない感染現場」だ。ウイルス感染したパソコン端末の解析依頼が持ち込まれる際、被害端末上に復旧作業用のアカウントを新設していたり、ウイルスそのものを専用ソフトで駆除したりしているケースがあるという。もちろん依頼者に悪気はないのだろうが、「証拠を被害者自身が踏み荒らして消すようなことにつながります」と警告する。ウイルス感染したそのままの状態で渡すことが鉄則だ。

「大誤算」サイバー攻撃に直面した社員の間違った行動

では、被害を防ぐためにどう対処すべきなのか。杉山氏は「サイバー事故対応を大規模災害時の事業継続計画(BCP)と同じようにとらえ、事前にトリアージ(優先順位付け)とウイルス感染を想定した訓練をしておくことが重要」と話す。

企業内でサイバー事故が起きると、たいてい「早急に企業運営を再開したい側」と「原因を究明したい側」の対立が生まれるという。意思決定の手順を明確にしておかなければ原因究明が遅れ、それが公表の遅れにつながるなどして、信頼の低下など必要以上の損害を被りかねない。社内各部門の役割と責任を明確にした対策組織をつくっておくことが、被害を最少に食い止めるのだ。

4. スペシャリストが警告「セキュリティ対策はコストではなく投資」

杉山氏は「セキュリティ対策はコストではなく投資」と強調する。

スペシャリストが警告「セキュリティ対策はコストではなく投資」

サイバー犯罪の攻撃者はアンチウイルスソフトに引っかからないウイルスを日夜生み出し、送りつけてくる。
企業も個人も「感染する」という前提で対策する時代だ。そんな中、サイバーセキュリティにお金をかけることは消費者や取引先の信頼を勝ち取り、企業にとって付加価値を増すことになるのだという。

また、サイバー犯罪には知らないうちに加害者にされる怖さもある。実際にあった事例では企業がパソコンを乗っ取られ、遠隔操作によってそのパソコンから世界中に攻撃メールが発信されていた。このような場合、無実を立証するために係争に発展する恐れもあるという。

「対策に終わりはありません」と杉山さん。技術面、人材面での十分な準備をした上でサイバー犯罪の動向を日々チェックし、自分事として想定訓練を繰り返すことが、企業の信頼を失わないための一番の近道だといえるだろう。

あとがき

杉山さんによれば近年のサイバー攻撃は横展開が主流。「1台感染したら、つながっている組織内のパソコンも感染している可能性が高い」とのこと。「サイバー攻撃に直面しても冷静に対応できる」と自信を持ってこたえる方はどのくらいいるのでしょう。情報流出した場合の損害額は平均で6億円といわれています。
杉山さんの指摘にもありますが、セキュリティ対策は「コストではなく投資」と考え、日ごろから社員教育や、事業継続計画(BCP)の制定などを備えておけば、6億円もの被害を出さずにすむかもしれません。