金銭目的ではない攻撃も出現
山岡:私はサイバー攻撃直後に被害企業から依頼を受けて、対策会議の立ち上げ、フォレンジック調査(記憶媒体に対する調査)、業務復旧、当局対応、法的紛争など、被害発生から事態収束に至るまでの全てのフェーズに関わっています。サイバー被害対応におけるいわばハブ的な役割を弁護士が担っているのは意外かもしれませんが、米国では訴訟リスクを踏まえて弁護士が関わるのが一般的になりつつあります。
米国には弁護士と依頼人の間に「Attorney-Client Privilege(秘匿特権)」というものがあります。つまり、依頼者と弁護士との間のコミュニケーションは秘匿されます。
被害企業に対して訴訟が起こった場合に、被害企業内部や外部調査会社とのやり取りがディスカバリ(証拠開示)の対象となることを避けるために、弁護士が介在することが重要です。
私はカリフォルニア州の弁護士資格も持っていますので、日本企業の米国法人が攻撃対象となった場合には、秘匿特権を意識するようにしています。
また国内の事案であっても、株主代表訴訟などの訴訟リスクが高まっているので、訴訟リスクから逆算してフォレンジック調査の範囲を決めたり、被害情報の発信内容を工夫したりするようにしています。
リテシュ:サイバー攻撃にどう対応するのかというのは、企業にとっても大きな問題です。攻撃を受けた企業と、その企業には顧客がいるので、やはりその関係性に気を使う必要はありますね。
セキュリティ側の人間として、攻撃を受けた企業が先を見通せないなか、私たちの対策が企業に対して大きな影響を与えることになる。常にその感覚を持つことは大事です。
攻撃者に目を向けると、これまではランサムウェアのグループや、金銭的な利益に関心のあるサイバー犯罪者のほとんどが、自分たちの要求をはっきりと表明していました。暗号化したシステムを復旧したければ4000万ドル払えなどと伝えてきた。
ところが最近ではそれにも変化が起きていて、なりすましのランサムウェア攻撃グループも出てきています。実は、彼らは国家が後援しているグループなのです。金銭目的のランサムウェア攻撃グループのように装っていますが、彼らの目的は金銭的な利益ではありません。
山岡:目的は何なのでしょうか?
リテシュ:彼らの目的は産業スパイ行為ですが、支援を受けている国の国益のために動いているのです。私の会社では「外部攻撃対象領域管理」という、企業や組織の外部からくる脅威を洗い出して対応するシステムを提供しており、サイバー攻撃者の動向を把握したり、直接やりとりをしたりします。
最近扱ったケースでは、100億ドル以上のビジネス規模を誇る海外企業でしたが、20年近く何10億ドルもかけて研究を行ってきた知的財産に絡む内部情報が盗まれました。漏れたら会社が潰れてしまうというくらいの貴重な知的財産がランサムウェア攻撃で盗まれたのです。
このケースでは、交渉中も相手の言うことがころころと変わり、最初は1000万ドルを要求してきたのが、やはりもっと必要だと言ってきたりもしました。
途中でやり取りが途切れるということもありましたが、結局、攻撃者グループは、知的財産のデータなどを公開しない代わりに、新たな条件を出してきました。その条件というのが、まずは政府や捜査当局などに報告するなというものでした。
そのうえで、この企業に研究開発の内容を今後5年分、共有するよう求めてきたのです。結局、相手と電子メールなどでやり取りすることになり、攻撃者グループの素性を深く調べてみると国家支援を受けた攻撃者だったことがわかりました。つまり、金銭目的ではなく、地政学的な、国家間の競争が背景にあったというケースでした。
