攻撃者集団の傾向を踏まえたアプローチ
山岡:OFAC規制や外為法に抵触しかねない相手に身代金を支払うと大きな法的リスクになります。特にOFAC規制は、厳格責任(Strict Liability)で、「(背後にSDNリストに掲載された国家や団体・個人がいるとは)知らなかった」では責任は免れません。
だからこそきっちりと分析をして相手の属性をできるかぎり把握する必要があります。貴社のように攻撃者の素性まで調べ上げる企業に分析してもらう必要性が増しますね。
リテシュ:弊社ではどんな攻撃が来るのかまで察知することが可能です。
山岡:冒頭にも述べた通り、日本企業は外国企業と比較して身代金を支払わない傾向にあります。ただし、今後、世界中の企業が身代金を支払わないようになった場合、どうしても身代金を奪取したい攻撃者集団としては、身代金要求額を引き下げることが想定されます。
数千万円から数億円であった身代金が数十万円から数百万円にまで下がる。そうなると日本企業でもいまよりも支払うところが出てくる可能性があります。そういう状況下では、さらにOFAC規制や攻撃者の特徴などに対して注視していく必要も高まります。
リテシュ:世界的に見て、ランサムウェア攻撃グループが侵入してくる隙は、VPN以外には、先に触れたRDPや、システムの時刻情報を同期させるNTPプロトコル、通信プロトコルであるUDPプロトコルなども狙われやすい。日本企業も注意が必要です。
ランサムウェア攻撃グループは、インターネット上をスキャンして、不正アクセスできそうな場所を探します。サーバーなどIT部門から侵入されることもあるし、OT(工場などの制御技術)のシステムから入られることもある。
山岡:企業はサイバー攻撃から従業員、取引先、株主といったステークホルダーを守る責任がある。なので企業がサイバーセキュリティ対策に取り組む必要はよりいっそう高まっています。そして、その場合、攻撃者集団の攻撃傾向を踏まえたリスクベースのアプローチが重要となります。
そのためには、警察庁などの当局やサイファーマなどのプロフェッショナルな企業が、攻撃傾向の情報を民間企業に提供し、共有する仕組みが重要になると考えています。
山岡裕明(やまおか・ひろあき)◎カリフォルニア大学バークレー校にてSchool of Information修了(Master of Information and Cybersecurity)。八雲法律事務所に所属、日本及び米国カリフォルニア州で弁護士の資格を持つ。企業のサイバーインシデントレスポンスを専門としている。
クマル・リテシュ◎イギリスのMI6(秘密情報部)で、サイバーインテリジェンスと対テロ部門の責任者として、サイバー戦の最前線で勤務。IBM研究所やコンサル会社PwCを経て、世界最大の鉱業会社BHPのサイバーセキュリティ最高責任者(CISO)を務める。現在は、シンガポールに拠点を置くサイバーセキュリティ会社サイファーマ(CYFIRMA)の創設者兼CEO。日本のサイバーセキュリティ環境の強化を目標の1つに掲げている。
