ランサムウェア被害は防げるのか？インターポールでの経験から語る「現実と対策」とは

こんにちは！人事の小高です。

GMOサイバーセキュリティ byイエラエ株式会社（以下、GMOサイバーセキュリティbyイエラエ）の現場メンバーにフォーカスした*パートナーインタビュー企画。

今回は、前回「これまでのキャリア」についてインタビューをさせていただいた福森さんに、「ランサムウェア」をテーマにお話を伺いました。

インターポール（国際刑事警察機構）への出向経験を持ち、サイバー犯罪の最前線で活躍してきた福森さんに、ランサムウェアとは何か、なぜ被害が拡大しているのか、そして被害を防ぐために私たちができることについて、専門家ならではの視点で語っていただいています。

前回のインタビュー記事はこちらからご覧ください。

*GMOインターネットグループでは社員・従業員をパートナーと呼んでいます。

ランサムウェアを防げるかは、攻撃者との競争にかかっている

━━ まず、ランサムウェアとは何か教えていただけますか。

ランサム（ransom）は身代金という意味です。攻撃者は企業のデータを盗み出して暗号化して使えなくします。そして「元に戻して欲しければお金を払え」と要求してくるんですよね。この仕組みが誘拐の身代金と類似していることから、ランサムウェアと呼ばれています。

この犯罪自体は昔からありはしましたが、「データを暗号化した」と言いながら実際は暗号化できていないケースも多くありました。深刻な問題というよりも、困ったいたずらレベルのものだったんです。対処すべき問題として捉えられるようになってきたのは、ここ10年くらいです。

それに伴って、被害に遭う企業の属性も変わってきました。ランサムウェアが行われるようになってすぐの頃は、被害に遭う企業の大半がセキュリティ対策が十分にできていなかった企業でした。しかし近年は、セキュリティ対策に億単位のお金をかけて対策をしているであろう企業でも被害に遭うようになってきています。近年大きく報道されている企業のインシデント事例もこのケースです。

━━ なぜ、最近は大企業でも被害に遭うケースが増えているのでしょうか。

端的に言うと、攻撃者側の手口がどんどん巧妙になってきているからです。まず、ここ数年で攻撃者が圧倒的に増えました。

ランサムウェア攻撃を行う組織では、近年、自分たちで攻撃するのではなくてフランチャイズ的な展開をしています。この組織はロシアにあると言われていますが、一番の大元はロシアだったとしても、世界中誰でも、条件を満たしさえすればこの組織の一員として働くことができるんです。

コロナ禍で失業者が急増したことを機に、このフランチャイズに加わる攻撃者が大幅に増加しました。またここ数年は、AIによる失業者も発生していて、攻撃者の増加に拍車をかけています。失業してしまった。このままでは、住むところも食べるものもなくなってしまう。死ぬかもしれない。それなら、死ぬ前に一か八かやってみるかと犯罪に手を染めてしまうという人が増えています。これが、ランサムウェア攻撃が過激になった要因のひとつではないでしょうか。

また、ランサムウェアの攻撃者たちはものすごく研究熱心です。たとえば、誰かが逮捕されたとすると、なぜ逮捕されたのかを徹底的に分析し、二度と同じ轍を踏まないように対策しようとするんです。

警察側は、攻撃者の小さなミスをどうにか見つけて逮捕しようとしますが、一度逮捕してしまうとその手法は広まって対策されてしまうので、同じ手法は使えません。これがランサムウェアを捜査する上での難しさと言えます。

さらに、攻撃者の技術もどんどん向上しています。たとえば、VPNの脆弱性からランサムウェアを仕掛けるケースを例にお話します。

セキュリティパッチがリリースされたら、攻撃者たちはすぐさまその脆弱性を悪用するためのコードを開発し始めます。一方の企業側では、攻撃を回避するためのセキュリティパッチを適用しなくてはなりません。攻撃者がコードを完成させるのが早いか、企業側がパッチを適用するのが早いかの競争です。例えば1年間に5回セキュリティパッチが出るとしたら、守る側はその競争に5勝0敗でなければいけない。4勝1敗だったら企業側の負けなんです。

現在は、5日以内にパッチを適用できないと攻撃されてしまうと言われています。さらにAIなどを背景にした攻撃者の技術向上により、この期間はどんどん短くなっています。大企業の場合、組織が大きいゆえに意思決定プロセスが複雑なためにどうしても初動が遅くなりがちなことも、被害に遭ってしまう要因のひとつかもしれません。

VPN・・・インターネット上の通信を保護し、第三者から情報を守るための技術
セキュリティパッチ・・・OSやソフトウェアの弱点である脆弱性を修正するプログラム

セキュリティとは、プロセスである

━━ 福森さん個人としては、ランサムウェアについてどのように考えていますか。

企業の経営に大きな打撃を与える、看過できない問題ですよね。とある大手企業では売上が9割も減ってしまったと報道で目にしました。同社は体力のある会社なので、もちろん厳しい状況ではあるでしょうが、持ち堪えられていると思います。しかし、そうではない大半の会社では倒産に追い込まれることもあるでしょう。

それを回避するために、身代金を払っている会社もあります。心情としては理解できるのですが、厳しいことを言うと、払っている会社があるからこそランサムウェアはなくなりません。なので、払わないでいるべきだというのが私の意見です。理想論ですけどね。

払わずにいた会社は報道されて信頼に傷がつくこともあるのに、身代金を払った会社は報道もされないし、信用もなくならないという歪な構造になっているのも問題だと感じています。

こうした議論になると、「病院など人命に直結する場合は払っても仕方がないのでは？」との意見がよく出てきますが、仮に医療機関がOKだとしたら、消防署はどうでしょう。生活に欠かせない電気を作っている電力会社は？電力会社や医療機関も使っているサーバーなどのITインフラを担っているGMOインターネットグループも、見方によっては人命に直結していると言えるかもしれません。

「〇〇だからこの業種はいい」と一度例外を作ってしまうと、際限が無くなるんです。だから、私はどんな場合であってもダメだと思っています。

誰かが払うことで将来の被害者が生まれてしまいます。誰もお金を払わなければ、犯罪として成り立たないのでランサムウェアはなくなるでしょう。とはいえ、払わない場合はバックアップからデータを復旧しなくてはなりませんし、もしバックアップが残ってない場合はゼロからデータベースを作り直すこととなるので、大変という言葉では足りないほど大変です。なので、「それを回避できるのであれば」と払ってしまうのも理解できるんですけどね……。

━━ 倫理的には払わないでいるべきですが、さまざまな事情が重なると、その道を選べない場合もありますよね。そもそも被害に遭わないためには、何をすれば良いのでしょうか。

細かい対策はたくさんあります。

代表的なもののひとつがASM（Attack Surface Management）です。ランサムウェアは、次の3段階を経て行われることが一般的です。

1. 侵入経路を見つける
2. 侵入し、重要なサーバーなどの目的地を探す
3. データの暗号化、窃盗

この最初のフェーズにおける対策がASMで、インターネット上にあるデータ資産のうち、リスクが高いものがないかを発見するためのものです。たとえば、VPN機器が何台あるのか。セキュリティ対策が十分でないVPNはないかなどを網羅的に監視し続けます。これにより、脆弱性を早く見つけて対策することで、攻撃者の侵入を防ぐわけです。

もうひとつの代表例が、EDR（Endpoint Detection and Response）です。これはフェーズ2、すでに入ってきた攻撃者へ対応するためのものです。

端末やサーバー上を監視して、怪しい動きがあれば検知します。さらに、危険が見つかれば通信遮断などの封じ込めも行うことができるツールです。

しかし、ASMやEDRのようなツールを入れればそれで安心というわけではありません。セキュリティ対策は4次元で行う必要があります。1次元目は、目の前にある自分のコンピューターを安全な状態にしておくこと。2次元目のアプローチ先は、自分だけでなく職場にいるすべての人のPCやサーバー。そして3次元目はクラウドです。

ここまではおそらく、きちんとできている企業も多いと思います。問題は4次元目の時間軸です。今この瞬間は完璧に対策できていても、明日には新たな脆弱性が見つかっているかもしれません。このことをきちんと認識し、常に万全の対策がなされている状態を作らなくてはなりません。しかしセキュリティ担当者が休暇を取ったり、入れ替わったりと、会社では色々なことがあります。これらの環境に左右されず、とにかく続けていかなくてはならない。これこそが、セキュリティの難しさです。

この考えの背景には、ある本から得た学びがあります。

私はサイバーセキュリティを仕事にするようになった社会人1-2年目ごろに、勉強のために当時日本で出版されていたセキュリティ関連の本をすべて読みました。それらの本の中で、強く心に残り、今でもバイブルとしているのがブルース・シュナイアー『暗号の秘密とウソ』（山形浩生訳, 翔泳社, 2001年） です。

暗号学者によって書かれたこの本では、「セキュリティは製品ではなくてプロセスだ」という主張がなされています。「最強の暗号を実装しても、それでもセキュリティには不十分である」「セキュリティは一回やって終わりではなくずっと続くものだ」と彼は言っています。暗号学者が自分の飯のタネである暗号を自ら否定して、こう述べているって、すごく説得力がありますよね。20年以上前の本ですが、これは今でも十分に通用する話だと思います。

仕事に悩んだら読むようにしているので、もう20回以上は読んでいると思います。今でも陳腐化することなく毎回いろんな角度から気づきを与えてくれます。

ツールを入れて安心せず、一人ひとりが危機意識を持つことが大切

━━ GMOサイバーセキュリティbyイエラエでは、ランサムウェア対策のためにどのようなサービスを提供していますか。

先ほど紹介したASMやEDRは、もちろん当社でも提供しています。

ただ、繰り返しになりますが、セキュリティはプロセスです。今日は安全でも明日には危険になっているかもしれないとの危機感を持ち、危険がないか常に状況を見続けることが求められます。とはいえ、他にやるべき事業がある企業で、セキュリティに十分な人的リソースを割き続けるのは、決して簡単なことではないと思います。

その際は、迷うことなくアウトソーシングしていただくのがいいと思います。GMOサイバーセキュリティbyイエラエには、CTFで一位を取っているパートナーをはじめ、凄腕のエンジニアが数多く在籍しています。

そして、その一人ひとりが持つ専門家としての知見をセキュリティ診断などに反映しています。だからこそ、質の高いサービスを提供できていると自負していますし、セキュリティというプロセスを進める上で貢献できることは多いと感じています。セキュリティに課題を抱えているのであれば、ぜひ私たちに任せてもらいたいですね。

━━ 力強いお言葉ありがとうございます。最後に改めて、セキュリティ対策に取り組む方々にメッセージをお願いします。

まずセキュリティ対策には、セキュリティ部門の人だけでなく、その会社に所属する一人ひとりがセキュリティに対する危機意識を高く持つことが大切だと伝えたいです。

ランサムウェア攻撃も、個人の小さな油断がきっかけとなっていることが多いです。VPNから攻撃される場合でも、まず個人が攻撃されて、その端末に入っているVPNの認証情報などを利用してVPNが攻撃されるというケースが散見されます。

マルウェアを感染させる専門業者がいて、その業者が何万何十万というPCの情報を吸い取ります。そしてそこで得た情報を別の業者に販売するのですが、その中に大手企業が入っていたりするわけです。そのため、怪しいメールをクリックしないなどの基本的な対策を徹底することも、ランサムウェア対策につながります。

次に伝えたいのは、ツールを入れて安心しないことです。

被害に遭った有名企業にも、EDRを入れていた企業はあります。しかし攻撃者が、EDRでも検知できない手法で攻撃してきたために対応しきれず、被害に遭うこととなってしまいました。EDRで24時間監視しても100%ではないんです。それなのに製品を入れて安心してしまうと、攻撃者の思う壺です。

「セキュリティは製品を入れることではなくプロセスだ」との意識のもと、対策に取り組んでいただくことが大切です。しかし、それでも守りきれないことはあります。その時は遠慮なくプロに頼ってください。私たちセキュリティベンダー側としても、どんどん巧妙になる攻撃から皆さんを守れるよう、さらに勉強してスキルを高めていきます。

━━ 福森さん、ありがとうございました！

GMOサイバーセキュリティbyイエラエでは、セキュリティベンダーとして、より技術を高めてさらなるお客様の安全を実現するべく、全員が切磋琢磨しながら働いています。

セキュリティの最前線で自分を磨きながらお客様に貢献したい方、ぜひ一度お話しましょう！