本連載は、週刊 金融財政事情(2024年4月~5月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
拡大する被害と攻撃手口
警察庁が公表した「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、2023年に報告されたランサムウェア(身代金要求型ウイルス)による被害件数は197件に上ります。また、情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威2024」においても、ランサムウェアによる被害が組織における脅威として4年連続で1位となりました。
ランサムウェアによる攻撃手口は、データを暗号化した上で暗号化したデータを元に戻す「復号」と、窃取した暗号化前のデータの「公開」を脅しに対価を要求する「二重恐喝(ダブルエクストーション)」が多くを占めます。
一方、攻撃者にとって、データの暗号化は時間がかかるうえに早期に発見されやすくなっています。そのため、2022年ごろからデータを暗号化することなく窃取し、対価を要求する「ノーウェアランサム」と呼ばれる手口が登場し、今後の増加が懸念されています。
また、個人情報等の機密情報の管理を外部に委託している場合に、委託先企業が攻撃を受けることで間接的に被害に遭うケースなども見られ、攻撃は多様化しています。金融機関をはじめ、多くの企業や組織ではサードパーティリスクの1つとしてランサムウェア被害を認識する必要に迫られています。
このような状況を鑑み、日本をはじめ米国や英国など各国捜査機関が国際共同捜査を実施し、サイバー犯罪グループの摘発に一定の成果を上げています。また、2023年10月には米国が主導するサイバー犯罪者に身代金を支払わないという誓約書に同盟国のうち40ヵ国(執筆当時)が署名するなど、国際的な協調によるサイバー攻撃の撲滅に向けた取組みも見られるようになっています。
進む標的型攻撃対策とバックアップ方式の見直し
近年のランサムウェア攻撃の多くは、侵入から目的遂行に至る手口が機密情報の窃取等を目的とする標的型攻撃と同じです。そのため、多くの金融機関で標的型攻撃対策の高度化が優先的に行われています。
その方法の1つとして、本連載第4回 で解説した「脅威ベースのペネトレーションテスト(TLPT)」を実施し、改善を図っている金融機関が増えています。侵入の手口としてVPN(仮想プライベートネットワーク)機器の脆弱性を突いた不正アクセスが多くを占めていることから、資産管理・脆弱性管理の高度化や、「ゼロトラスト」※ と呼ばれるVPNに依存しないアーキテクチャーの検討も進んでいます。
また、多くの金融機関がバックアップ方式の見直しにも取り組んでいます。これまで多くの金融機関では、リアルタイムでデータを複製する「レプリケーション方式」が採用されてきました。この方式はシステム障害や災害対策には有効である一方、データの暗号化を伴うランサムウェア攻撃においては、バックアップ用に複製したデータも暗号化されてしまいます。
そこで近年では、バックアップデータの破壊などによって利用不能とならないようにするため、システムを停止した状態でバックアップを取得する「オフラインバックアップ方式」や、バックアップデータを変更できないようにする「イミュータブル(変更不可)バックアップ方式」等の採用が広がっています。このように、バックアップデータのセキュリティ保護の重要性が増しています。
被害発生時の組織的な対応
ランサムウェア被害が依然として発生し続けている状況下においては、技術的な観点だけではなく、組織的な対応についても事前に検討しておくことが重要になります。国内では、ランサムウェア被害が急増した2020年ごろから、大手金融機関においてランサムウェア被害に遭った場合のポリシーを策定する動きが加速しました。
特に検討しておくべき項目として、身代金の支払いや攻撃グループとの交渉、対外的な報告等を含む組織としての行動指針の策定が挙げられます。ランサムウェア被害発生時における対応方針の根幹には、前述したランサムウェア被害を撲滅するための世界的な取組みがあります。身代金を支払うことは攻撃グループの活動を助長してしまいます。それを理解したうえで、断固たる姿勢を堅持することがサステナブルな社会の実現に貢献する社会的責務であることを、経営層が認識することがきわめて重要となります。
下記の表に、筆者が策定を支援したランサムウェア被害発生時における行動指針の項目を例示しています 。ランサムウェア被害に遭った場合は、これらの項目について経営層による迅速な意思決定が求められます。あらかじめこれらの行動指針と行動計画を立てておくことが望まれます。
【ランサムウェア被害発生時における行動指針の項目例】
| 正確な情報の収集 |
| 人命および顧客利益の保護 |
| コンプライアンス |
| 身代金要求への対応 |
| 犯罪者交渉への対応 |
| 業務継続への対応 |
| 顧客および取引先への対応 |
| グループ会社への対応 |
| 内部情報統制への対応 |
| サードパーティーがランサムウエア被害に遭った場合への対応 |
| 業務復旧への対応 |
| 当局への対応 |
| 広報・マスコミへの対応 |
| 専門家の活用 |
出典:KPMG作成
特に、身代金の支払い是非にあたっては、発生した被害に関するさまざまな要素を基に、慎重かつ合理的に判断することが求められます。安易に支払うことは、再び攻撃を受けるリスクを高める恐れがあるからです。さらには、財務省の「経済制裁処置及び対象者リスト」記載先への送金による各種法令・規則等の違反に伴う追徴金やレピュテーションリスクなど、さまざまなリスクにもつながり得るでしょう。
組織的および技術的な観点において、網羅的にランサムウェア攻撃に対する防御耐性を検証しておくことは、顧客や自社の情報・資産を守るうえで重要です。しかし、サイバー攻撃は日進月歩で高度化しており、サードパーティに絡んで直接または間接的に攻撃されないとも限りません。サイバー攻撃の被害を受けた後に回復する能力であるサイバーレジリエンスを高めておくことが喫緊の課題です。
※ 情報資産にアクセスするユーザーやデバイス、ネットワーク、アプリケーションのすべてを信頼しないことを前提に、セキュリティ対策を講じるという考え方。
週刊 金融財政事情 2024年5月14日掲載(一部加筆・修正しています)。この記事の掲載については、一般社団法人金融財政事情研究会の許諾を得ています。無断での複写・転載は禁じます。
執筆者
KPMGコンサルティング
パートナー 薩摩 貴人
