情報を盗むだけでなく、組織を「全滅」に陥れる犯罪者　「孫氏の兵法」から学ぶ、サイバー攻撃を迎え撃つ組織の作り方

サイバー攻撃による緊急対応件数は、この数年で急激に増加

武藤耕也氏：みなさん、こんにちは。グローバルセキュリティエキスパート（GSX）の武藤と申します。本日は「サイバーセキュリティ対策の本質とは」と題して、「2022年上半期の事故実例から学ぶ」というタイトルでお話を進めていきたいと思います。よろしくお願いいたします。

今日の結論ということで、いきなり出ていますが。みなさんご存知のとおり、この「敵を知り己を知れば百戦危うからず」は、孫子の兵法です。まさにサイバーセキュリティにおいても現実の戦いと同じように、「敵を知る」。犯人たちがどんな考え方で、どんな手口を使って企業を攻撃して、騙して、そして被害に陥れていくのか。

そして「己を知る」。自分たちが業務の中でITをどのように活用して、どうやって設計して、どうやって運用しているのか。そういったことがしっかりわかっていれば、それに対してちゃんとリスクコントロールできるようになり、セキュリティのレジリエンスも高くなっていく、という話です。

みなさんもニュースや新聞報道で、たくさん見聞きなさっていると思いますが、サイバー犯罪はすでに対岸の火事ではありません。「急激に変化したサイバーリスク」として書かせていただきましたが、我々も5年前と比べると、緊急対応の数の桁が違う状況になっています。ひどい時には1日に数件、別々のお客さまから緊急対応のご依頼がくるような状況になっています。

これはほかのサイバーセキュリティ企業のみなさま、特に緊急対応をやられてらっしゃる会社さんであれば、同じような状況ではないかなと思っています。ここ1〜2年の実被害の数の増え方は、本当に驚異的だと思います。

情報を盗まれるだけでなく、一気に業務停止に陥るリスクも

例えば製造業などでは、設計データだけではなく、生産技術情報やメンテナンスに使われているユーザーさまの情報が、サイバー攻撃によって盗まれてしまっています。大きく報道もされましたが、病院では電子カルテや会計システムから、患者さまの個人情報も盗まれています。報道された病院だけではなく、ほかの病院でも今年に入ってからも何件も起きています。

運輸業とかでも、積み荷を依頼している企業のデータだけではなく、配送先のお客さまのデータや、もっと言うと経理システムや会計データのシステムも盗まれている。化学メーカーでも、研究データやサプライチェーンの情報が、サイバー犯罪によって侵入されて盗まれています。

そしてこれらは情報を盗まれるだけではなく、侵入されたあとに最終的にランサムウェアを突っ込まれて、システムを暗号化させられてしまい、システムを止められてしまいます。そして脅迫文が表示されるんですね。

システムが止められているのは端末1台、2台の話ではありません。基幹システムや経理システム、業務システム含めて丸ごと暗号化されてしまっているせいで、一気に業務停止に陥ってしまいます。

警察庁が出している「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」というレポートがあるんですが、こちらを見ていただいても（わかるとおり）、こういった状況が昨年の上半期と比べて、今年の上半期は倍近くに増えているんですよね。

これが警察に報告された、企業を狙ったランサムウェア被害の件数です。実際に被害に遭われた企業さんが警察に相談されている件数でもこれだけあるということです。

実例からみる、サイバー攻撃で被害を受けるまでの経緯

今日は実例のお話ということで、お客さまから詳しい話をしてもいいと言われている（インシデントの）内容がありますので、1つご紹介したいと思います。社名は勘弁してほしいと言われてるんですが、情報システムのマネージャーの方から「自分たちがどのようにやられてしまったのかという情報が、ほかの企業のみなさんの役に立つのであれば、勉強会やセミナーの場で紹介してもいいですよ」と言っていただけましたので、せっかくですので今日ご紹介させていただきます。

国内にけっこうな店舗数を持っていらっしゃる小売業の会社です。今年5月から6月ぐらいに実際に攻撃が行われて、被害に気がついたのは6月になってからだったんですね。6月23日木曜日が最初のきっかけでした。

この会社さんにとって非常にキツかったのは、このタイミングでランサムウェアによって一気に業務システムを止められてしまったことです。ここまで（暗号化されるまで）侵入されていることに気がつけなかった。その結果一気にシステムが止められてしまったので、被害が甚大になってしまった。

端末60台以上、そしてAD（アクティブディレクトリ）サーバや、業務システムサーバ、ファイルサーバまで含めて、重要システムが一気に暗号化されてしまったために、業務が停止してしまったんです。

みなさんご存知のとおり、いきなり外から少し突いただけで、こんな攻撃が成功するわけはありません。当然ランサムウェアによって重要なシステムを暗号化する前に、犯人はいろんなことをやってるわけです。

ランサムウェア感染の起点は、プラットフォームに残る脆弱性

このあと事故調査を進めていくにあたって時系列を遡っていくと、まずわかったのが6月16日木曜日（被害発覚の1週間前）の段階で、テレワークをしていた本部の事務職員の端末が、マルウェアに感染してしまいました。そこが起点となって中に入られてるんじゃないかということがわかってきた。

ちょっと変なのはここですね。こういうパターンの場合、例えば（特定の企業や組織を狙う）標的型攻撃メールのようなかたちで、騙しのメールを従業員の人に送りつけて、そのメールに騙されてクリックしてしまって感染してしまうというパターンはよく見受けられるんですが、（このケースの場合）このあと調べてみても、感染していたウイルスの本体になるべきものや、ダウンローダーになるようなものをメールでは受け取っていませんでした。

もうちょっと調べてみないと状況がわからないということでいろいろ調べた結果、最初の起点はどこだったかというと、プラットフォームに残る脆弱性だったんです。ストレートに言ってしまうと、VPNのゲートウェイに残っていた脆弱性を犯人が突き、それを悪用して中に入ってきた。

その結果、端末も60台以上、そして基幹システムも含む重要システムを一気に暗号化されてしまって、御多分に洩れず、この会社さんも脅迫されるかたちになっている。

犯人側も事前に「シナリオ」を準備してきている

この会社はもともとセキュリティソフトも入れていたし、ゲートウェイのところにもUTMを動かしていたので、大丈夫だろうと踏んでいたらしいんですが、犯人が中に入ってきた時に、ちゃんとそれが見える化できておらず、検知できていなかった。

不正な動きや不審な活動、異常な数値をできる限り早く見つけて、それに対して悪意があるかどうか、脅威があるかどうかを判定していかなければいけない。ここが今のポイントだと思っています。

犯人たちはこういった攻撃のシナリオを事前に準備していますし、分業体制も組んでいます。実際の攻撃活動が始まった時には、できる限り自動化して、この犯行が迅速に遂行できるように、そこまで準備してから犯行シナリオを実行してくるわけなんですよね。

なので我々守る側としても、その前提で、もし何かあったらすぐに対処できるようにしておかないと、犯行の進行を止めきるのはなかなか難しくなってきています。

このお客さまも基幹システムの中まで入られていることから、非公開システムのほとんどの部分が被害に遭ってしまっている。そして個人情報だけではなく、一部クレジットカード情報も盗まれていましたし、システム全体が止められてしまったことで業務停止に直結しています。

ほかのニュースや新聞報道によく出てくるランサムウェア被害と同じように、業務停止に直結してしまうということは、どの企業にとっても（サイバー攻撃対策は）事業継続の問題、BCPの問題と同じように考えなければいけない問題になってきています。

もちろんお客さま情報や会社が持っている企業秘密を盗まれてしまうことも、大きな被害といえば被害なんですけれども、それよりもさらに企業としてはリスクが高まってしまった。経営的な意味でも優先順位を上げざるを得なくなったというのが、最近の実情だと思います。

脆弱性を潰した後なのに侵入されてしまった理由

先ほどのお客さまの事例をもう1回ひもといていきます。この事例はVPN、ゲートウェイの脆弱性を突いて犯人がやってきたということなんですが、最初はこのことをシステム担当者の方にご納得いただけなかったんですよね。

なぜかというと、この被害に遭う前の5月21日土曜日の段階で、このVPNに残っている脆弱性を把握していて、ちゃんとファームウェア（デバイスを動かすために内蔵されている制御のためソフトウェア）をアップデートしていたんです。

前から（脆弱性が）「あるな」とわかってたけれども、なかなか業務が忙しく、ネットワークを止めるタイミングもなかったので5月になってしまった。でもこの攻撃を受ける前の5月のタイミングで、ちゃんとファームウェアを上げて脆弱性も潰している。だからこれで侵入されたというのはおかしいんじゃないかと言われました。

ただ、マルウェアに感染してしまった端末を持っている従業員の方は本社の勤務の方で、この時テレワークしていたので、ご自宅の端末からVPNを使って、本社のネットワークに接続してお仕事をされていた。こういった企業のネットワークがあった時に、犯人側の視点でどうやって侵入しようか考えていくと、侵入の起点となりそうなところはたくさん思い浮かぶわけなんですよね。

アップデートまでに“認証情報そのもの”が盗まれていた

その中でも特に、今回の調査の時にわかった状況や、あとから調べていって「状況証拠からしてこうなんじゃないか」というのが確からしいところを遡っていくと、今のお話のとおり、まず5月中旬の段階でまだVPNの脆弱性は残っていたんです。これはすでに公開された脆弱性で、悪用方法もわかっているものだった。

管理者の方もそれを理解していたので、ファームウェアをアップデートしなきゃいけないなと思ってたんですけれども、忙しかったのでちょっと時間が空いてしまった。

犯人はまず、このわかっているVPNゲートウェイの脆弱性をついて、このVPNを使うID・パスワードを盗んでいったわけです。そのあと（システム担当者が）パッチを適用して（アップデートして）VPNの脆弱性は潰すのですが、盗まれたVPNのID・パスワードは残っています。

犯人側はそのまま正規のアカウントを使ってVPN接続して、そして社内のファイルサーバの脆弱性も悪用し、共有フォルダの一角に、まさに最初の偵察用のウイルスを設置。こいつを使われたことで、職員の方が騙されて感染してしまったんです。

サイバー犯罪被害に遭う会社に共通する、リスクの想定不足

その時にもう1つ犯人がやってきているところがありました。感染した端末のブラウザに残っていたID・パスワードのリストという、認証情報の束も盗んでいました。さらにこのあと犯人は、RDP（リモートデスクトッププロトコル）を使って社内の管理用のシステムの中にも侵入してくるんですけど、その時に管理者が使っている正規のアカウントを使って接続しているんですね。

どうやっているのか考えてみると、実は感染した端末の中に、この端末をセットアップした時に使った管理者の認証情報が残っていて、それを盗んでいるんです。その管理者のアカウントでRDPに入られていたので、そのあと一気に被害が広がって全滅した。こういうかたちになっているんですよね。

事故が終わって調査もひと段落して、回復したあと、この会社さんは自ら、なんでこんなことになってしまったのかという反省会をやられて、原因調査をされています。そこで抽出した課題が、例えば「そもそも自分たちがこんな大規模なサイバー犯罪によって攻撃を受けて、大被害を被ることを企業全体として想定してなかった」と。

当然そういったリスクにビットを立てていないので、誰がどの情報を管理するべきで、その情報は企業として守る価値があるのかどうか、その情報が入っている端末がどれでクラウドサービスがどれで……といったことをしっかりリスト化できていなかった。その管理責任が誰にあるのかも明確にしていない。

こういったお話はよく聞くと思います。事故調査委員会が公表しているレポートも読んでいただくと、ほかの業種・業態でもたくさん出てくると思います。実際我々が緊急対応に入りサポートさせていただいた他の企業でも、同じようなお話がたくさん出てきます。

「敵を知り、己を知る」ことがセキュリティ対策の第一歩

改めて言うまでもないんですが、例えば経産省のサイバーセキュリティ経営ガイドラインや、各省庁が出しているフレームワーク、ガイダンスなど、いろいろなところで「まずこういうところを自分たちで押さえておきましょう」と言っています。何のためにそれが必要かというと、やはりリスク認識や防犯意識がないと、スイッチが入りづらいと思うんです。

でも今、ヒヤリハットをすでに何度も経験されている会社もありますし、この会社のように実被害を受けてしまい、それがニュースや新聞でたくさん報道されるような状況になっています。

やはり最初に言った「孫子の兵法」のように、敵を知り、そして己もちゃんと知る。自分たちがITの仕組みをどうやって仕事で使っていて、どうやって設計して、どうやって運用してるのかというところを、ちゃんと棚卸しして、見える化していくことが重要です。

今お話ししたように、この企業さまが自ら抽出された結論の中に「犯人の手口を自分たちは理解してなかった」と。そして「自分たちが守るべきシステムや守るべきデータも、ちゃんとリスト化できていなかった」。こういったところをしっかり見える化すること。

そして管理について、誰か1人のセキュリティ担当に全部丸投げとか、ベンダーさんに全部丸投げとかでは、これだけITの仕組みが広がってしまうと管理しきれません。

なので扱う人たちやその所在地の責任範囲の中で、ちゃんと自分たちでも防犯意識を持って運用しなければいけません。それがふだんの業務の足かせにならないように、できるだけ仕組み化・自動化する準備を進めておくこと。こういったことをしっかりやることで、安心してITやOTを利用し続けることができます。

経営者も従業員も持つべき「リスク感覚」

このへんのお話は実は緊急対応だけではなく、我々がコンサルで入らせていただいているお客さまからも、同様のご相談をたくさんいただいています。

実際システム部門のマネージャーさんもよく言われるんですが、自分たちとしては「セキュリティがヤバそうだな」とわかってはいるものの、今日お話ししたようなリスク感覚は、やはり一般従業員の方にはなかなか伝わりづらい。経営者でも一部わかってらっしゃらない方が、まだまだ多いんじゃないかと思っています。

システム部門やITベンダーだけではなく、経営者も経営者の立場でサイバーセキュリティリスクをしっかり認識して、企業リスクとしてコントロールしていかなきゃいけません。

そして事業部門側も、自分たちはふだんITを活用して仕事をしているわけなので、自分たちがそのITを利用する中でやらなければいけないことがある。そして自分たちがどう犯罪者から見えているのか、どうやって攻撃されるのか。こういった防犯意識も、共通認識として持たなければいけないというのがポイントになろうかと思います。

リスクコントロールの鍵は、犯人の活動を早いうちに見つけること

今日は脆弱性が起点となったお話をしましたけれども、外から脆弱性をついて直接中に入ってくる手口は、今でもたくさんのサイバー犯罪者や攻撃者が使ってくる手口です。ただ1個の脆弱性が破られたからといって、いきなりシステム全体が丸ごとダウンさせられるような仕組みになっているシステムはもうほとんどないと思います。

逆に言うと、1点を突破されたからといっても、しっかりそのあとの活動まで見える化できていれば…。

先ほどの例のように、最初の攻撃が行われたあとに、犯人はいろいろやってくるんですよね。例えばゲートウェイの脆弱性をついて認証情報を盗んだら、その認証情報を使って正規のアカウントになりすまして接続します。そのあと、外に公開していない社内のサーバであればアップデートの管理も少し緩やかになっているので、まだ既知の脆弱性が残っているサーバが社内ネットワークにはあるかもしれない。

だから犯人側はそういったところもスキャンしながら、脆弱性が残っているサーバや端末に対して攻撃をしてきて、そこから攻撃の足がかりを組んでいく。まさに橋頭堡（敵地などに入って作戦をするために築く拠点）を作っていくんですよね。

そういった脆弱性が使えない場合は、いわゆる標的型攻撃のように、騙しのテクニックを使います。誰か関係者を騙すようなメールや、騙しのWebサイトを準備して関係者の誰かを騙し、偵察用のウイルスを感染させて、そこから少しずつ情報を取っていく。

その情報をもとに、さらに端末を乗っ取ってハッキングツールをダウンロードして、その端末が持っている認証情報を使って社内に侵入し、ラテラルムーブメント（水平展開）を進めていく。

このように犯人側は、いろいろな手段や攻撃手法を組み合わせながら、一番我々が守りたい重要なデータが管理されているところや基幹システム、制御システムまで入り込んでこようとしてきます。その前にこの活動を見つけて止められるようにすれば、被害も最小限に抑えられますし、そのタイミングが早ければ早いほどリスクをしっかりコントロールできることになります。

組織のレジリエンスを支える「見える化し続ける努力」

犯人たちは、防犯意識のない人や組織を狙っています。これは空き巣のような伝統的な犯罪でもまったく同じなんですね。行き当たりばったりで見かけた家に入ってくるような、のほほんとした空き巣はいません。事前に、ターゲットになる家はどこに玄関口があって、どこに裏口があって、どの窓から侵入したら表通りから見えないのか。

そして中に住んでいる人たちはふだん何時に出勤して何時に帰ってくるのか。こういったことを事前に（調べて）準備して、犯行シナリオを整えてから実行してきます。そこに我々の防犯意識の欠如があれば、簡単に犯行が成功してしまうんです。

なので最初の結論に戻りますが、「敵を知り己を知れば百戦危うからず」というのはまさにこのことです。敵を知ることについても、犯人たちがどんなことをしてくるのかという「脅威インテリジェンス」など、セキュリティの業界の中でも、犯人が使う考え方や犯行シナリオをベースとしたサービス・製品がどんどん実装されていて、もうすでに使えるような状態になってきています。

こういったことをしっかり組み合わせていくことで、「自分たちは何を守らなければいけないのか」ということをまず、組織の共通認識にしていただく。そうすることでちゃんと防犯意識が組織の中に芽生えてきますし、みんなの頭の中にスイッチが入れば、見える化できて、気づけるようになります。

ITのリスクは、怪我のように転んで痛くてすぐ血が出るといったわかりやすいものではなく、どちらかといえば初期のがんのように、攻撃の初期段階では痛くもかゆくもないものです。でもちゃんと見える化する努力をし続けていないと、万が一の時に大変なことになってしまう。だから意識的に見える化し続ける努力が必要になるんです。

組織のセキュリティレベルをあげる3者のスクラム

こういったことは、みなさんもふだんお仕事の中で普通にやられていると思います。リスクアセスメントやリスクコントロールの話を私がみなさんにお話しするのは、本当に釈迦に説法だと思っているんですが（笑）。

ふだんの業務の中に、いろいろなリスクが存在していると思います。それをみんなでちゃんと見える化しよう、そして見える化したものは共有していこうといった活動を、いろいろな会社さまが、いろいろな現場の中でもうやっていらっしゃいます。

ヒヤリハットの状況まで徹底的にヒアリングして共有化を進めて、これが社内文化になってくると、当然これをみんなが見れば理解できるようになりますし、意識の醸成もできる。そうなってくると自社だけではなく、例えばパートナー企業さんやサプライチェーンの先に至るまで、それが危険かどうか一目でわかるようになりますし、判断がブレなくなります。

その意味で、情報と認識をどんどん（社内で）共有できるようになるんですよね。これを実現するには先ほどのお話のとおり、システム担当の方だけではなく、経営者の方々と各事業部門を担当されている業務責任者の方々の、3者のスクラムが非常に重要になります。

ISO31000の中でも、「しっかりコミュニケーションと協議を重ねることでリスクアセスメントの実効性が進んでいく」ということが出てくると思います。特に業務の責任者の方たちのスイッチが入ると、ふだんお仕事の中でも「ん!?　このシステム、ヤバい。これ今誰も管理してないんじゃないの？」ということに、みなさんが気づくようになってくるんですよね。

こうなってくると棚卸しのレベルも、リスクアセスメントのレベルも一気に向上していきます。「（セキュリティの取り組みを）何のためにやっているか」という（意識の）スイッチのもとに、リスクアセスメントレベルがどんどん向上し、それに対応するための組織体制とシステム化の具体性がどんどん上がっていく。だからサイバーセキュリティの実効性も上がっていくんですよね。

セキュリティは、DXによる競争力の土台となる

こういった活動をさらに継続的にするために、事故対応された企業さまの多くが取り入れていて、実効性の向上に寄与しているのが、「サイバーセキュリティ活動に関して、経営会議の中でも定例的に状況報告するようにする」ことです。

例えそれが1分でも5分でもいいんですけれども、少しでも必ず「この1週間の状況はどうだったか」「この1ヶ月の状況はどうだったか」という内容が報告の中に入ると、マネジメント層の中だけでも共通認識がどんどん定着していきます。こういったやり方は非常に取り入れやすいかなと思いますので、ぜひ参考にしていただければと思います。

今お話しした「何のためにやっているのか」というのがしっかりリスクアセスメントできていくと、組織体制をどう守って、どういったシステムで見える化・自動化していくのかが、ガッチリ強固に組めるようになってくる。ここが強固な運用の土台になりますので、サイバーセキュリティのレジリエンスも急激に上昇していきます。

こういった話はIPA（独立行政法人 情報処理推進機構）さんからも「DXによる競争力向上も、やはりセキュリティが土台となるんですよ」という話を提言されていらっしゃいます。

Society5.0や生産性の向上、創造性の向上と、表面的な（目立ちやすい）ところにばかり目がいってしまうんですけども、いわゆるITの技術を企業のみなさんがしっかり活用していくためには、この建屋の部分として「セキュリティが維持し続けられている」という前提があるんです。

徹底した「見える化」がゼロトラストにつながる

今日のお話のまとめに入ります。サイバー犯罪に対抗するためには、まず防犯意識を全社で醸成し、そのあと防犯意識を持って棚卸しを進め、この棚卸しに従って、どう守っていくかの事前準備をしていかなければいけない。

その時に気をつけていただくのは、とにかく徹底した「見える化」です。これは標的型攻撃においてもランサムウェアにおいても内部不正であっても、「誰が」「いつ」「何を」「どんなことをしているのか」がいつでも見えるようになっていれば、悪いことができなくなります。

まさにこの活動が、次のセキュリティの一手になってくる。防御1点張りだった境界防御の世界から、徹底した見える化にどんどん状況がシフトしていっています。マルチクラウド環境であっても（テレワークや）モバイル環境であっても、今までは「見えてない活動」が急激に広がっていました。

それをこれからどんどん見える化するようにする。しかも、誰か人の手で努力して見える化するのではなく、どんどんシステムの中に含めて、「見たい時にいつでも見れる状態」を作り出す。それを準備することで、より実効性が高く、そして使いやすいITの仕組みができていくと思っています。

この徹底した見える化が、まさにゼロトラストにつながっていくというお話です。

事前に準備をしている犯人を迎え撃つためには、守る側も準備を

今日は犯人側が事前に準備をしているのであれば、我々守る側もちゃんと調べて見える化して、訓練して連携をとり、迎え撃つための準備を進めていきましょう、というお話をさせていただきました。

先ほどお話しした、リスク認識を共有してリスクアセスメントして体制を強化する、そしてシステム化を進める、更改していく。このPDCAをスパイラルアップしていく。（その時に活用できる）それぞれのソリューションや、アドバイザリーのメニューを、私どもはそれぞれのフェーズでご用意しております。何かご不明点等ございましたら、ぜひご相談いただければと思っています。

特に「どこから手をつけてよいかわからない」という場合も、あまり気にせずに、ぜひお気軽にご相談いただければと思います。また今日のウェビナーでお話しさせていただいた内容を詳しくご紹介するセミナーを開催したいと思っています。詳細についてはまたGSXからメールをお送りしますので、そちらをご参照していただければと思います。

最後に「防犯・防災活動と同じように備えましょう」という言葉で、講演を終わりにしたいと思います。本日はお時間いただきまして、ありがとうございました。