(ブルームバーグ): カドカワがサイバー攻撃を受け、子会社のドワンゴに関する情報などが漏えいした。同社が受けたランサムウエア(身代金要求型ウイルス)による攻撃は増えている。トレンドマイクロによると、2023年に国内法人が公表した被害は70件となり、過去5年で最多だったという。
こうした攻撃に企業はどのように備え、身代金を要求された際にはどう対応すべきなのか。公開情報をもとに足元の状況をまとめ、SBテクノロジーの辻伸弘プリンシパルセキュリティリサーチャーと東京海上日動サイバー室の教学大介専門次長らに話を聞いた。
1.カドカワで何が起きたのか、事業への影響
ドワンゴが手掛ける動画共有サービス「ニコニコ動画」を中心にランサムウエアなどの大規模なサイバー攻撃が発生。サービスの停止や情報漏えいが起きた。カドカワは外部漏えいの可能性が高い情報として、子会社のドワンゴの従業員の個人情報や、取引先との契約書、傘下の角川ドワンゴ学園に関する情報などを挙げている。外部専門機関が調査中で、7月中には正確な情報が得られるとしている。
カドカワの27日の発表資料によると、自社システムの影響が大きい既刊の書籍では、出荷部数が平常時の3分の1程度に減少。一方、新刊は平常時と同等の水準を維持する。ウエブサービスでは、ニコニコ動画などの「ニコニコファミリーサービス」を停止しており、臨時サービスを提供する。業績への影響は現時点では不明としている。
2.ランサムウエアとは
警察庁によると、ランサムウエアは感染するとパソコンなどに保存されているデータを暗号化し使用できない状態にした上で、データを元に戻す対価として金銭や暗号資産(仮想通貨)を要求する不正プログラムという。データなどを使用不可にした上で、流出の停止と引き換えに脅迫金を要求する「二重脅迫型」の犯行手口は19年から増え、現在も増加傾向にあると辻氏。
3.ランサムウエアの感染はどのような経路が多いのか
警察庁が3月に発表した企業への23年の調査によれば、有効回答数115件のうち、仮想プライベートネットワーク(VPN)機器からの感染が63%と最も多い。VPNは職場のネットワークにアクセスでき、新型コロナウイルス禍で在宅勤務が増えるなかで、活用が進んだ。ただ辻氏によると、攻撃者が脆弱(ぜいじゃく)性を突いて、内部ネットワークに入り込みランサムウエアを展開できてしまうリスクがあるという。
4.ランサムウエアをどう防げばいいのか。感染したらどうすべきか
攻撃の起点となる脆弱性をなくしつつも、攻撃を受けた後の対応が重要だと辻氏は述べた。脆弱性を減らすには、パスワードは流出しているという前提で共有パスワードを避けるほか、二重認証を使うことなどが挙げられる。
ランサムウエアの場合のほとんどは、侵入した後につながっているネットワーク内で徐々に広がるため、ネットワーク内の監視体制が整っているとランサムウエアの存在に気づいて拡大を食い止めることができ、被害を減らせる。データのバックアップに加え、バックアップを緊急時に使用できるように日頃の訓練も欠かせないとした。
5.身代金を払うことが多いのか。払えば解決するのか
大手サイバーセキュリティー企業の米プルーフポイントの調査によると、23年の日本のランサムウエアの身代金支払率は32%と、調査対象の15カ国の平均(54%)に比べて低い。身代金支払率は22年に比べて10ポイント減少しているという。
1回目の身代金の支払いで、データやシステムが復旧したのは15カ国平均で41%、日本では17%にとどまる。身代金を支払ったからといって必ずしも問題が解決するわけではなさそうだ。全米保険監督者協会(NAIC)のリポートによると、身代金を支払った被害者の50-80%が、再度攻撃を受けているという。
6.ランサムウエアに感染すると、どの程度の被害を負うことになるのか
サイバーリスクへの備えや対応を専門とする米ネットデリジェンスのリポートによると、22年のランサムウエアによる事故の平均対応コストは、86万5000ドル(約1億4000万円)だった。日本で1億円を超えるとかなり多い印象だと、辻氏は話す。ランサムウエアを仕掛けた側との交渉で身代金は9割引きになる場合もある。
自社の復旧費用や、取引先への賠償のほかにも、顧客情報の流失によるレピュテーションダメージが大きい場合もある。
7.サイバー攻撃による被害への補償はあるか
一般社団法人の日本損害保険協会によると、サイバー保険では、サイバー攻撃によるけがや財物の損壊などを補償する。ただランサムウエアの被害によって支払った身代金はサイバー保険の補償対象にはならない。損害保険ジャパンの広報担当者は、身代金への対応は、かえってランサムウェアによる攻撃を助長する懸念があると説明。今後も身代金を補償対象にする想定はないという。
損保ジャパンの広報によると、同社のサイバー保険の加入件数は、23年度は前年度比で約20%増えたという。中でも売上高100億円以下の企業に特化した商品は加入件数同約50%増と大きく伸びた。
15年に日本国内の損害保険会社として初めて発売したサイバー保険の開発を率いた教学氏によると、22年の個人情報保護法の改正でプライバシー情報を漏えいした際の企業責任が重くなり、加入件数がそれまでより増加ペースが速くなったという。
サイバー保険で保証されるのは3種類の損害で、第三者への賠償責任、自社の復旧費用、そして事業の中断による逸失利益がある。ただし、逸失利益は任意であるため加入している日本企業は1割にも満たないという。
辻氏によれば、米国で身代金支払いまで保証するサイバー保険などは加入費用が年々高くなっており、さらに加入時の審査も、セキュリティー対策の条件が細かく追加されているという。
8.ランサムウエアによる攻撃は今後増えるのか、減るのか
20年からランサムウエアによる攻撃の情報リークサイトなどを監視している辻氏によれば、年々増加しており、目立った捜査機関の国際連携なども見られないことから、減少する見込みがないという。
9.カドカワの事案を受け日本企業にどのような影響があるか
辻氏は特に影響はないだろうと話す。同氏が主要なランサムギャング(ランサムウエアを使って攻撃を行うグループ)の活動をまとめたところ、情報がリークされた企業の本社を国別で集計した際、米国が約半数を占め圧倒的に多かった。日本は31カ国中13番目だった。米国企業は、感染した際にランサムギャングへ支払う身代金まで補償するサイバー保険などが存在し、狙われる理由の一つとなっている。日本企業があまり狙われない理由の一つとして、言語の壁もあるのではないかと、辻氏はみる。
10.カドカワの案件から学ぶべき教訓はなにか
原因の全容が判明しておらず対策の部分では難しいとした上で、辻氏は攻撃された後の対応として透明性の高い情報発信を迅速に行うことで、同様手口の被害を減らすことにつながり、不要な憶測も減らせるとする。カドカワの場合はそれが不十分で、さまざまな憶測を結果的に呼んだとみる。徳島県つるぎ町立半田病院は21年にランサムウエアの被害を受けた際に、第三者委員会を通じて詳細なレポートを公開した。再発防止につながる動きだったと辻氏は評価する。
--取材協力:佐野七緒、日向貴彦、鈴木英樹.
More stories like this are available on bloomberg.com
©2024 Bloomberg L.P.
鄭重声明:本文の著作権は原作者に帰属します。記事の転載は情報の伝達のみを目的としており、投資の助言を構成するものではありません。もし侵害行為があれば、すぐにご連絡ください。修正または削除いたします。ありがとうございます。