相次ぐランサムウェア被害　日本はサイバー犯罪天国かもしれない　対策は「ゼロトラスト」とCRUDの再確認から：佃均

相次ぐランサムウェア被害　日本はサイバー犯罪天国かもしれない　対策は「ゼロトラスト」とCRUDの再確認から : 広報プラスαのガイドブログ「経済記者 シニアの眼」

TOP画像はランサムウェア攻撃グループ「BLACK SUIT」が公開した声明

　このところＩＴ界隈では「ランサムウェア」が話題のようです。出版・コンテンツ大手のKADOKAWAグループと京都市の情報処理サービス会社イセトーの事案が耳目を集めました。
　確認のために説明しておくと、ランサムウェアは「Ransom＝身代金」とソフトウェアを合成した造語です。マルウェア（malware：malicious＝悪意のある＋software）と呼ばれるプログラムをサーバーに送り込んで、データを暗号化したり盗み出したりします。
　「データを元に戻したかったら金を払え」と要求するサイバー犯罪で、2017年に医療機関や工場など、世界規模の被害が発生したことが知られています。日本でも医療機関の診療や名古屋港のコンテナヤードが停止するなどの被害が発生しています。
　これまでは「他山の石」で傍観することができたのですが、前出の2事案から類推すると、サイバー犯罪集団は日本に狙いをつけ始めたのかもしれません。データと情報セキュリティへの認識、個人情報への異常なほどの感度、そこそこの“身代金”支払い能力など、要件は整っています。日本はサイバー犯罪天国かもしれません。

■リークサイトからデータが拡散
　「BLACK SUIT」を名乗る犯罪集団が、KADOKAWAグループのドワンゴと角川ドワンゴ学園から利用者や契約者にかかるデータを盗み出したのは今年６月８日でした。ドワンゴから流出したのは「社内外の一部個人情報や契約情報等」、角川ドワンゴ学園からは「Ｎ中等部・N高等学校・Ｓ高等学校の在校生・卒業生・保護者のうち、一部の方々の個人情報」となっています。
　ニュースを聞いたとき、卒業生のアーカーブ・データがなぜオフライン・サーバーに格納されていなかったのか、が第一感でした。データ利活用にかかるガバナンスとプロセスの不備が情報セキュリティの穴となっていて、その弱点を突かれたということなのでしょう。
　水面下での交渉について詳細は不明ですが（一説に「4億7000万円相当の仮想通貨を支払った」とも）、7月1日に大量のデータがリークサイト（ダークウェブ）上に公開され、Ｘ（旧Twitter）や5ちゃんねる（旧2ちゃんねる）などを通じて拡散される事態に発展しています。
　一方のイセトーは取引先（地方自治体、健保組合など）の個人情報150万件を盗まれました（方のイセトーは取引先（地方自治体、健保組合など）の個人情報150万件を盗まれました。プライバシーマーク、情報セキュリティマネジメントシステム（ISMS）「ISO27001（ISO/IEC27001：2013）」認証を取得していても、ランサムウェアを防ぐことはできませんでした。

※ニュースリリースは下記。
https://tp.kadokawa.co.jp/.assets/240703_release_mRuGoqZ3.pdf
https://tp.kadokawa.co.jp/.assets/240712_release_arIyXvaB.pdf
https://www.iseto.co.jp/news/news_202405-3.html

■大切なのは日ごろの心がけ
　ではどうすればランサムウェアから守ることができるのか、誰しも興味があることでしょう。
　KADOKAWAグループとイセトーの事案をきっかけに、「ゼロトラスト」という言葉を見聞きすることが多くなりました。システムを構成するすべてのリソースを監視し制御する手法のことです。
　Webサイト、メール添付ファイル、VPN（仮想私設ネットワーク）、リモートデスクトップ、外付け記憶装置（USBメモリーやHDD）など、ハードウェア、プログラム、データのすべてを信用しない＝Verify and Never Trust（決して信頼せず必ず確認せよ）から「ゼロトラスト」と呼ばれます。

　従来のアンチウィルスソフトや防御壁型セキュリティ＝Trust but Verify（信頼するが確認する）はオンラインシステム時代の延長線上、ゼロトラストはクラウドファーストの情報セキュリティということができます。しかしチェックツールを導入したから安心というのは大きな間違いで、不審なメールの添付ファイルやURLをクリックしない、出所不明のファイルやプログラムはダウンロードしない等、日ごろの心がけが大切なのは言うまでもありません。
　それはそれとして、ここで強調しておきたいのはデータCRUDの再確認です。CRUDはCreate（生成）、Read（読み込み／利活用）、Update（更新）、Delete（消去）のことですが、ゼロトラストと同時にデータの質とCRUDレベルの見極めが欠かせません。
　そのデータはアクティブかノンアクティブか、追加・変更はあるか、月次・年次などで２次加工するか等々で、どこに格納すべきかが決まります。アーカイブ・データをアクティブなファイルサーバーに格納するのはリソースの負荷を増すだけですし、万一の操作ミスを想定すればすべてのデータをオフラインサーバーにバックアップする——データCRUDの分析はBCPの一方策、というわけです。

■ランサムウェアの手口がアップデート
　四方山話で紹介しておきたいのは、ランサムウェア型サイバー犯罪の手口がアップデートしていることです。
　2017年当時はマルウェア→データを暗号化→復号化を条件に“身代金”を要求という手口でした。被害者はデータが読めないと仕事にならないので、復号化する対価を払う、というわけです。
　ところが昨年あたりから変化が見られます。
　「データを元に戻してほしかったら金を払え」から「金を払わないと盗み出したデータをネット上に公開するぞ」に変わり、さらに“身代金”が高額になっています。“身代金”を払っても盗み出したデータをリークサイトに公開するのは、恐喝の領域を超えています。
　イギリスのセキュリティ専門会社SOPHOSの年次レポート「ランサムウェアの現状（2024年版）」によると、“身代金”は１年で５倍、平均200万ドルに膨れ上がっているといいます。犯行グループは高額な身代金をせしめることができる企業や組織にターゲットをしぼってくるでしょう。
　そこでふと思ったのは、マイナンバーは大丈夫か？　でした。政府は「ランサムウェア犯罪に“身代金”は払わない」と言明していますが、犯罪集団が犯行の目的を政府転覆や世情不安の醸成に変えたら事情は変わってきます。この国のデータ管理レベルでは、なんでもひも付けするのはヤバいかも、なんですよねぇ。