登壇者プロフィール
サイバーリーズン合同会社
CISO
本城 信輔氏
アンチウィルスベンダーやセキュリティ企業において、20年以上に渡りマルウェア解析業務に従事。豊富な定義ファイルの作成経験があり、サンドボックスの検知技術やAIによる検知技術の向上にも関わってきた経験からマルウェア対策技術にも詳しい。また、メディアや講演を通じて、マルウェアによるサイバー攻撃についての情報提供を行ってきた。著書に「PCのウイルスを根こそぎ削除する方法」(技術評論社)がある。
東京工業大学理学部数学科卒業、東京大学大学院物理学修士課程修了
株式会社インターネットイニシアティブ
メールセキュリティエバンジェリスト
久保田 範夫 氏
セキュリティ、ネットワークサービスの企画、構築、運用に長年にわたり従事。米国駐在の経験を積んだのち、帰国後はメールサービス部門にて、サービスのプロモーション、機能改善、販売促進、運用などメールに関する様々な業務を歴任。現在は迷惑メール対策組織である「M3AAWG」のメンバーとして情報収集/交換を行う一方、エバンジェリストとしてメールセキュリティに関する最新動向や対策アプローチの啓蒙活動に注力している。
最新のサイバーリスクとは?
株式会社インターネットイニシアティブ 久保田氏(以下、久保田):
一言でサイバーセキュリティと言っても、かなり幅の広い分野です。ネットワークやクラウド、さらにはエンドポイントと呼ばれるスマートデバイスやPCなど、そういったもの全てに影響のあるものが、サイバーセキュリティ、サイバーアタックと呼ばれます。そして、全ての人々が被害に遭う可能性がありますね。
例えば、一番初めのきっかけとなるのがメールです。メールのやり取りの中に、うそのメールがやってきて、それをトリガーにして企業が丸々だまされてしまうようなこともあるわけです。
専門用語でBEC(ビジネスメール詐欺)と呼ばれているものがあります。偽物のなりすましメールの「お金をこちらに振り込んでください」という内容をつい信じてしまい、大量のお金を攻撃者の口座に振り込んでしまうようなことです。結果として、会社にものすごく大きな金銭的なダメージを与えてしまうことにつながります。
2022年の2月から3月にかけて、Emotetというマルウェアが大流行しました。もともとは何年も前に流行ったマルウェアなのですが、それが再来し、たくさんの企業が実際に被害に遭っています。さらに昨今ではランサムウェアという、コンピューター内の資産を人質に取って金銭を要求する攻撃が行われていますね。実際にデータが人質に取られてしまって、金銭を支払うようなケースも出てきています。
個人の場合、被害の額はその方の資産の範囲ですが、会社になると莫大です。そういったものがだまし取られることにつながるサイバー攻撃は非常に怖いですね。
サイバーリーズン合同会社 本城氏(以下、本城):
ランサムウェアについて、もう少し深くお話ししたいと思います。10年ぐらい前のランサムウェアは、感染したコンピューターのファイルを暗号化し、「復号化してほしければお金を払ってください」というような脅迫文が流れるものでした。被害額は1つのコンピューターの復元に対して日本円で数万ぐらいです。
しかしここ2~3年で二重脅迫ランサムウェアというものが出ています。つまり2回脅迫するものです。1回目は、先程と同様にファイルを暗号化するのですが、2回目は、感染したコンピューターからデータを盗み取って被害者に送信します。データを公開してほしくなければ、お金を払いなさいという脅迫なのです。その要求額は最近非常に大きくなっています。日本でも数億円程の規模になっていて、アメリカでは、日本円で約50億円請求されたケースもあります。
ただ、たしかに2回目の脅迫の被害額は大きいのですが、そこで大変な思いをするというよりは、暗号化されてしまうことによってビジネスができない、サービスが提供できないということを懸念されている方が多いように思います。いかにビジネスを再開するかというところで、苦労されているという印象です。
みんなはどこまで対策してる?
久保田:
やはりIT関連の企業様は、防御するための機器やサービスを導入したりしている方々が多いです。ただ、ITではない分野であまり情報が行き届いていないような企業様は、少し後手に回っていらっしゃるケースもございます。
日経225という、日本経済新聞社がまとめている上場企業225社の中で、Microsoft 365といわれるMicrosoft社のサービスが浸透してきています。このサービスはアンチウイルスといわれるウイルス対策や、アンチスパムといわれるスパムメール対策などが付帯する非常にリーズナブルなものです。
ただ、統計を見てみたところ、Microsoft 365単体で利用されている企業は全体の4分の1ほどしかいませんでした。残りの企業はサードパーティといわれる、Microsoft社以外のメールセキュリティ対策を追加で使われているという実状が、弊社の調べで分かってきています。
アンチウイルスやアンチスパムという最低限のセキュリティ機能が付いているにもかかわらず、利用者の4分の3が追加コストを支払う形で、サードパーティ製のセキュリティを足されているという事実が非常に驚きです。上場企業でも資金がある企業様を対象にした調査なので、ある意味一部分なのかもしれませんが、セキュリティを二重化している企業がかなり増えてきているのではないかなと思っています。
ちなみに、実は追加されているメールセキュリティは弊社IIJのメールセキュリティサービス「セキュアMX」が、全体の中でのシェアナンバーワンです。さらに弊社サービスの話になってしまいますけれども、全国のさまざまな金融機関様はメールセキュリティにかなりご投資されています。オンプレミスと呼ばれる、自社ネットワークを構築し対策を取られる方々もいますが、弊社のセキュリティサービスをご購入いただき利用されている方も多くいらっしゃる状況です。
本城:
メールの追加のセキュリティについて、各企業がどういうアクションを取っているのかという点で非常に面白いデータですね。
先ほどのランサムウェアの話では、私どものデータによると、身代金を払った企業の80%が1年間のうちに再びランサムウェアの攻撃を受けているようです。1カ月以内に2回目の攻撃を受けているケースが60%ぐらいあって、3回目も感染したケースは9%ぐらいあります。
これが何を意味しているか、なぜ何回も感染するのかというと、セキュリティ対策をちゃんとしていないからなのですね。メールからランサムウェアが入る場合もありますし、VPNというリモートでアクセスする機能のサーバーの脆弱(ぜいじゃく)性やバグを経由して感染することもあります。
最近日本では、2~3年前の脆弱性が使われていて、その修正をやっていないことで感染の危険性が高まってしまうパターンが話題になっています。何回もランサムウェアに感染するということは、身代金を払って解決し「良かった、良かった」と安心した後にも、さらにお金を投資してセキュリティ強化しないと、どんどん感染してしまうという残念なデータもあります。
ランサムウェアはデータを暗号化する手法なので、有効な対策はバックアップです。暗号化されてもバックアップを取っていれば、ある程度復旧できるのです。私どものデータで面白いものがあります。身代金を支払って復旧できたという企業の統計によると、完全に復旧できたのが4割、一部破損するもののだいたい9割ぐらいが復旧、もうどうしようもなく復旧できていない企業が1割ぐらいあります。
一方で、身代金を払っていなくても復旧できたケースが70%あります。この人たちはなぜ身代金を払わずに復旧できたかというと、バックアップを取ってきちんと対策をしていたからです。セキュリティ対策をちゃんとやっているところと全くやっていないところの差が激しいというのが、日本だけでなく世界の現状かなというふうに思っています。
久保田:
やっぱり被害に遭った時のことを想像できるかどうかが、かなり大きな部分を占めていると思います。被害に遭うことによって被る被害と損失を事前に想像できると、あらかじめ被害に備えた対策を費用をかけてでも行っておくというところに結び付きますよね。
先ほどもお話にありましたようなバックアップをきちんと取っているかどうかで、被害後の復旧対応に大きく影響してきてしまいます。やはり企業様もそこまでを想像しながら準備をして、バックアップをきちんと取ることで、復旧までの時間が短い、かかるコストも少ないというような影響の最小化の実現につながるのではないかなと感じます。
本城:
セキュリティの対策は非常に難しくて、きちんとやっていると見えないのですが、へまをすると見える。リスクがあることを認識していかないと、対策がなかなかイメージされないのかなというふうに思っています。
まず、なにから始めるべきか?
ーー現状のセキュリティ対策は企業によって差が非常に大きくなっていることが分かりました。そのなかでまず始めるべきことと、次に対策するべきことをお話いただきました。
まずは「入り口対策」
久保田:
「入り口対策」という言葉を紹介します。サイバー攻撃はさまざまな経路から行われます。みなさんがどこかのサイトを見ている時に悪いものをインストールされてしまうケースや、なりすましメールをクリックしてしまって偽物サイトに飛ばされて個人情報を抜かれてしまうケース、なりすましメールで全く別の人にお金を振り込んでしまうケースなどもあります。
そこでまず最初にマルウェアの侵入やなりすまし攻撃のきっかけとなるWebの閲覧時や、メール受信時の対策を行う「入り口対策」と呼ばれているアプローチが非常に有効です。もちろん、入り口で全部を止められれば理想なのですが、現実的にはできません。さらにすり抜けてきたものに対する第2、第3の矢という形で、例えばエンドポイントのセキュリティなどの対策を重ねていくことが非常に重要だと思います。
メールによるマルウェア感染が全体の感染経路の9割を超えるというデータが、アメリカのベライゾンという会社から出ているのですが、9割以上がメールから入ってくるのであれば、メールのセキュリティ対策を強化することが非常に効果的な対策になると言えると思います。先ほどお話ししたMicrosoft 365のようなサービスで、ウイルス対策、脅威メール対策が付帯しているものを購入されるのも1つの対策ですが、さらにそれだけでは足りない部分を補うという意味で、より専門的なサードパーティ製の追加セキュリティのサービスや機器をさらに重ねていくとことも良いでしょう。
メールの中で一番危険なところが、なりすまし送信者です。昨今よくあるのが、みなさん聞き慣れたAmazonのサービスを装ったものです。そのほかにも、メルカリや銀行、クレジットカード会社など、有名なブランドを詐称したメールが私宛にも届きます。
自分に関係ない企業名であれば簡単に無視できますが、例えばAmazonで買い物をした直後だと、「あれ? 決済がうまくいかなかったのかな」と、つい不安になってだまされる原因になってしまうこともあります。そういったなりすましメールの送信元を見破ることが、送信ドメイン認証というテクノロジーで可能です。偽の送信元やなりすましを見破ることが、だまされない手段の1つとして入り口対策になります。
あとは、添付ファイルです。添付されたWordやExcelファイルでスケジュール表が送られてくるといったことがあるかと思いますが、相手がなりすましだった場合は添付されているそれらのファイルに悪意のあるプログラムが含まれている場合があります。そこを何かしら対策することによって、侵入経路の9割を占めるメールの入り口からの感染を防げます。
エンドポイント対策で速やかに対処
本城:
メールでマルウェアに感染するというパターンが非常に多いので、入り口対策が本当に大事ですね。ここをしっかりやっていただいて、それでも不注意でクリックしてしまうなど、99%対策しても1%は入ってしまう可能性が残ります。
入ってしまったらどうするかというと、例えば、攻撃者は数カ月も被害者のネットワークに潜伏しているのです。大抵は侵入されてから何カ月後に検知するのですが、1年以上経ってやっと気付いたというケースも16%あります。つまり、感染していったん入られると、気付くのが非常に難しいですね。
そこで私どもは、いかに攻撃を見える化するか、というサービスを提供しています。弊社のEDRというエンドポイント対策の製品では、侵入された時に攻撃を見える化することができます。例えば、攻撃があった場合にインターフェース上に大きな丸が表示されます。丸の大きさは攻撃の規模を示し、小さい丸が小さい感染で、大きいのが大規模な感染。そういったことが一目で分かるようになっているのです。
あるいは、どういうパソコンで、どういうユーザーがどういうファイルを開いて感染したか、ということも視覚的に見えるようにしています。数カ月や何年かにわたって入ってくるマルウェアをいかに早く見つけるか、を実現するエンドポイントセキュリティ製品を提供しています。
見える化して侵入に早く気がつけるようにした後は、速やかに攻撃に対処する、あるいはマルウェアや脅威を削除するなどのインシデントレスポンスをやり、いかに普通のビジネスに戻すかを心がけることが大事です。
もちろんこれで全てやれるかというとそうではなく、先ほどの入り口対策など、他のセキュリティ製品で対策をするのが前提です。それでも残ったリスクに対してこういった製品で、入られた時にいかに気付くかという対策をやっていくことが大切だというふうに思います。
対策に企業の規模は関係ない
久保田:
よく企業規模のお話をされて、「うちの会社なんか小さいから、そんな攻撃は受けないよ」と言われる方もいらっしゃいますが、大きい会社だから受けているわけではありません。インターネットというネットワークにつながっている世界では、攻撃する側から見たら会社の大きい・小さいはまったく関係がありません。
IPアドレスという数字の部分に攻撃を仕掛けるので、そのアドレスを持っている企業様や個人に、大小関係なくどこに対しても攻撃が行われます。もちろん攻撃を防げれば最善なのですが、全ての攻撃を防ぐことは不可能です。そのため、誰でも攻撃を受けることを前提に準備をしなければいけないと思います。
例えば車の保険で考えると、みなさん車の事故に遭わなかったら保険なんて入る必要ないですよね。自賠責だけ入っておけば、個人の保険は入らなくてもいいんじゃないかと。もちろん事故に遭わなければいいのですけれども、やはり事故に遭った時に起きる影響、金銭的被害や自分の被害を想像した時に、そこを準備しておくかどうかです。あくまで事故に遭うことを前提に保険に入って備えを行うかどうかが非常に大きな境目になります。
おわりに
久保田:
セキュリティ対策は、やらなければならないことがたくさんあるので幅広く対策をしていく必要があります。ですが、まずはできるところからという意味で、今日お話ししたような入り口対策としての、メールセキュリティ対策を強化していただければと思います。
本城:
攻撃者もコストをかけて攻撃してくるので、みんなでセキュリティのレベルを上げることで対策したいですね。攻撃者が攻撃しても割に合わないような、全体のセキュリティを上げていきたいなというふうに思っています。
ITトレンドEXPO次回もお楽しみに!
ITトレンドEXPO当日のセッションでは、視聴者の皆さんからの質問に登壇者がリアルタイムで答えてくれます。ご興味をお持ちいただいた方はぜひ次回のITトレンドEXPOをチェックしてみてください。(参加無料)
▽ITトレンドEXPOの開催情報はこちら
