CTOのひとりごと「この3ヶ月を振り返る」

その１：「想定外が招く想定外の侵害を想定して備える」

とは言ってもこれはほんの1ヶ月前、11月6日にポストしたブログです。詳細はぜひ、リンクをクリックして読んでいただきたいところですが、要するに、今年夏に国内で実際に発生したサイバー攻撃の被害事例をもとに、そこから何を学ぶべきかについて話しています。その一つが、その標的が港湾関連施設であったため、それらが「重要インフラに相当するレベルの体制を整えておくべき」という指摘です。

それが当たったかどうかわかりませんが、このブログを発表した直後である11月12日に、オーストラリア政府が、同国内の港湾サービス会社がサイバー攻撃を受け、大規模な事業停止に陥ったことを発表しています。同攻撃もランサムウェア攻撃であったとされています。同組織は攻撃を受けた結果、4つの港湾の事業に影響が発生し、数万個にわたるコンテナの対流を産んだとされており、関連する多くの企業に影響が発生したと思われます。

また、日本としても動きがありました。同侵害を受けて設立されたコンテナターミナルにおける情報セキュリティ対策等検討委員会における検討の結果、港湾施設も重要インフラの一部とされ、来年度の補正予算でさらにセキュリティ強化が行われることが決まったようです（参考）。

その２：ランサムウェア：払うべきか払わざるべきか、それが問題だ

続く11月16日には、ランサムウェアの支払いに関するブログをポストしました。結論は「払う必要がない」ということだったのですが、従来から、ランサムウェアはその脅迫を変容、進化させてきました。古くはハードウェアの暗号化から始まり、今は窃取した情報をダークウェブ等で公開するぞ、と脅すものに変わってきています。また、DDoS攻撃をオプションのように使い分けるケースもあります。

今回新たに見つかったとされるのは、「報告義務違反を政府に密告する」というものです。米国では、ランサムウェア攻撃を含むサイバー攻撃被害に遭った場合、4営業日以内にSEC( 米国証券取引委員会）に報告する義務がある。これは今年末から有効となったレギュレーションではあるが、かつて世界中を震撼させた大規模サイバー攻撃である SolarWinds 事件で被害報告をしなかった企業に対して調査を行なったことでも知られています。

しかし、密告することによってランサム攻撃者に何かメリットがあるとも思えません。これは見せしめとしての密告であり、「身代金を払うか、攻撃被害にあった事実を公表するか」の二択を迫る新たな手法と言えるでしょう。

来年に向けて

さて、来年の今頃にはもう少し大きな振り返りをしたいですし、また、四半期ごとに過去のブログを振り返ることができればいいな、と思っておりますが、来年を占うという観点から、12月20日に「PREDICTIONS - 2024年のセキュリティを占う」というwebinarを開催します。これは、Rapid7本社が毎年出している「来年の予測」に基づく日本向けのwebinarです。本社はすでに英語でwebinarを実施していますが、本webinarでは日本向けに、またインタビュー形式で、わかりやすくお話をしていく予定です。

文：ラピッドセブン・ジャパン株式会社　古川勝也＆横川典子