SHARE Twitter Facebook Google+ はてなブックマーク LinkedIn

世界規模のサイバー攻撃「WannaCry」から学ぶこととは?

The Guardian

2017年5月、世界中で猛威を奮ったランサムウェアウィルス「WannaCry」。コンピュータをロックし、使用不可能にした上で“身代金”を要求するというこの狡猾なウィルスは、英国のNHS(国民保健サービス)に大打撃を与え、約7000件の診察予約に影響が出た。この世界規模のサイバーアタックから今、私たちが学ぶべきこととは何か。

出典:The Guardian

2017年5月、ランサムウェアウイルス「WannaCry」が猛威をふるい、世界中の企業がコンピューター画面のロックやファイルの暗号化、ビットコインでの身代金の支払い要求といった被害に遭いました。今でも、多くの企業がネットワークの保護に奮闘し、次の大規模なサイバー危機をかろうじて食い止めている状態です。

Windowsオペレーティングシステムの脆弱性を悪用したこのウイルスは、世界150か国に拡散し、およそ45,000の企業・団体を攻撃して、重要インフラを数日間麻痺させました。その大規模な感染にもかかわらず、WannaCryは短期間で終息したため、身代金を支払った企業はわずかでした。とはいえ、この攻撃によって基本的なセキュリティプロセスの弱点が露呈し、多くの企業がネットワークを保護しない状態のまま、セキュリティ脆弱性に対する更新プログラム、つまり「パッチ」の適用を怠っていたことが明らかになりました。その後、サイバーセキュリティ業界は長期にわたり、WannaCryの教訓について真剣に考えることになります。

「この攻撃は、サイバーリスクを減らすために基本のセキュリティ対策を優先課題とする必要のある、すべての業界への警告となりました」と、ボムガー社のシニアソリューションエンジニアであるスコット・ウォーカー(Scott Walker)氏は言います。

DXCテクノロジー社でセキュリティコンサルティング、インテグレーション、コンプライアンスの担当として、UKI(英国・アイルランド)およびMEA(中東・アフリカ)地域の責任者を務めるピーター・アッシャーウッド(Peter Usherwood)氏はこの意見に賛成し、次のように付け加えます。「これらの脅威に対処するには、保護・検出・対応の典型的なメカニズムをはるかに超えて先を見通す必要があります。最前線にいる担当者がセキュリティを強化して、より高度なツールセットで敵対者に対抗しなければなりません。」

セキュリティ業界には、WannaCryが予算とサポートの拡充に向けた議論のきっかけとなったとの考えもあります。IT部門の責任者は、サイバー攻撃の脅威を深刻に受け止めるよう、取締役会や各部門の最高責任者を説得するのに長年苦心してきました。ネットワークの防御に必要なセキュリティシステムや定期的な更新に多額の投資を行うことには、多くの企業が消極的だったためです。

そんな状況で、WannaCryは、最も多くの人々が経験した初の世界的なサイバー攻撃として脅威を実感させる転換点となったわけですが、サイバーセキュリティを無視することの危険性に気付くには、痛い代償となりました。

英国のNHSは中でも多大な被害を受けた組織の1つです。NHSトラストに所属する病院の3分の1以上と600か所近くの診療所がこのウイルスの攻撃に遭った結果、約7,000件の診察予約がキャンセルされる事態となりました。標的にされた脆弱なWindows XPオペレーティングシステムはNHS内で広く使われていましたが、そのサポートは2014年に行われた最後の更新プログラムで打ち切られていたのです。

その上、原因は些細とも思えるものでした。予算削減が進められる中、レガシーテクノロジーの問題と、システムの更新にかかる多大なコストに直面したことから、2014年に商用サポートが打ち切られた脆弱なWindows XPオペレーティングシステムはXPからの移行猶予期間として、2015年4月まで政府がカスタムサポートのコストを負担していました。しかし、その後もNHS全体では、広く使用され続けていました。そしてサポート終了から2年後、NHSは高い代償を支払うことになったのです。英国保健省が最近行った計算では、WannaCry攻撃によるNHSの被害額は9,200万ポンドに上るとのことです

この攻撃を受けてNHSは、マイクロソフトのWindows 10オペレーティングシステムに移行するなど、ネットワークセキュリティの大幅な是正を図りました。保健・医療サービス全体に新たな脅威を知らせる脅威情報アラートが毎週送信されるほか、重大なインシデントが発生した場合にはテキストメッセージも送られるようにしました。「WannaCry以降、サイバー攻撃に対するレジリエンス(回復力)の強化にNHS全体で一丸となって取り組んできました」と、NHSデジタルは述べています。現在NHSは、攻撃発生時の対応、伝達、情報の周知を早めることに重点を置いています。

関連記事:「Why the public sector is embracing a robotic makeover」(公共部門がロボットによる改革を取り入れている理由)

新たなセキュリティ更新プログラムがリリースされたらすぐ、効率的にパッチをシステムに適用することの重要性を学んだNHSに倣い、他の組織でも同様の措置がとられています。サイバーセキュリティ事業を手掛けるパロアルトネットワークス社の最高セキュリティ責任者、グレッグ・デイ(Greg Day)氏は、効果的な更新プログラム適用戦略を策定することを優先課題として捉えています。そこには、パッチ適用済みとされているシステムに対して、実際にパッチの適用と再起動が行われたことを確認し、セキュリティ更新プログラムに関する正確かつ信頼できる情報を組織に提供するという、多くのIT部門が必死で実現しようとしている状況があります。

「パッチの適用は難しいのが現状です」と話すのは、セキュアデータ社の最高経営責任者であるエティエンヌ・グレーフ(Etienne Greeff)氏です。レントゲン装置やMRIスキャナー、産業機械を何時間も停止すれば、生命にかかわる治療の遅れや製造工程の中断が生じかねません。これもNHSの体制が大きな不備を抱えていると見なされた理由の1つです。パッチの適用では、コンピューターネットワークの更新中にダウンタイムが発生することが考えられます。同氏は、コード内で脆弱性を発見してからパッチの適用プロセスを完了するまでに平均で60日間かかると試算しています。

アッシャーウッド氏は、次のように述べています。「新たな脆弱性が公開されると、攻撃者はすぐにそれを悪用しようとします。ベンダーもパッチの適用を試みるので、悪用できる期間は短いと知っているためです。一刻を争うこうした状況では、自動化されたシステムが役立ちます。」

新たな攻撃が次々と発生することから、継続的な監視によって攻撃を即座に検出して対応できるようにすることが重要になる、と同氏は考えています。AIや機械学習、積極的サイバー防御が近年進歩したことから、企業が常に先手を打つことが容易になるでしょう。しかしながら、究極の目標は、当初から設計にレジリエンスを組み込むこと、そして、ビジネスへの影響を最小限に抑えながら、パッチの適用、更新、テストが行えるシステムを構築することであるべきです。

「デジタル資産の保存場所と、組織にとっての価値を把握しているかどうかという点が重要になります。」

グレーフ氏はこの考えに同意しながらも、すばやく拡散するウイルスの脅威を最小限に抑えられる、回復力の高いネットワークを構築するための道のりは長いと考えています。「WannaCryについて驚くべき点は、MRIスキャナーのネットワーク接続が切断されたことではなく、それが診療所のPCと同じネットワークに接続されていたこと、そして、一度の攻撃で両方を麻痺させることが可能だということです。」

同氏は、2017年6月にウクライナで発生し、すぐさま世界中に拡散したNotPetyaによるマルウェア攻撃を、統合されたシステムがいかに簡単に崩壊するかを示す事例として挙げます。しかし、一度の攻撃で崩されることのない回復力の高いネットワークを構築するために、システムを効果的にセグメント化する作業は、ほとんどの組織の予算では賄えないだろうと考えています。

セキュリティリスクへの対応において「レジリエンス」という言葉が広まっていますが、アッシャーウッド氏は「WannaCryの発生後、セキュリティの複雑さを、取締役会が理解して意思決定を下すための根拠となるリスク本位の言葉に集約することが課題となっている」と言い、リーダーがレジリエンスについてチームと活発に議論する際に、役立つ原則がいくつかあると説明します。「第一に、デジタル資産の保存場所と組織にとっての価値を把握しているかどうかという点が重要になります。また、それらの資産の状態を監視するためにセンサーを設置しているかどうかや、あらゆる侵害に対して検出・対応・回復の推進を実行できるセキュリティチームを設置しているかどうかという点も重要です。これらの基本事項を押さえておけば、サイバーレジリエンスのベストプラクティスに向けた確固たる基盤が得られるでしょう。」

 

この記事はThe Guardianのデヴィッド・ビネディが執筆し、NewsCredパブリッシャーネットワークを通じてライセンスされたものです。ライセンスに関するお問い合わせはlegal@newscred.comにお願い致します。