関連するソリューション
セキュリティサービス
セキュリティ製品
マネージドサービス(運用・保守)
フェロー 関原 弘樹
晴れた日は軽く真夏日になる東京の7月上旬、天候と気温の激しい変化は体にこたえます。今夏を満喫できるよう、天候に応じた準備をして体調には十分注意していきたいですね。
萬屋襲名の喜びに沸く6月初めの歌舞伎座と歌舞伎座タワー ©2024 Hiroki Sekihara
Wの悲劇
さて先月も多くのサイバーセキュリティインシデントが発生していますが、その筆頭は歌舞伎座タワーにオフィスを構える大手出版社でのインシデントでしょう。このインシデントに関しては、被害企業がコンシューマ向けの動画サービスを広く展開していることもあり、比較的多くの人々(つけくわえるならば、その多くがネットサービス利用のコア層)が影響を受けています。
さらに、それが一般メディアでも大きく報道されたことから、直接のステークホルダかそうでないかに関わらず、様々な層の人々による議論が白熱する結果となりました。
--
2024年6月8日にサイバー攻撃の被害を受けたこの大手出版社ですが、以下のとおり当初は全面停止したWebサービス事業を筆頭に複数の主要事業に大きな影響が出ています。
出典:【第2報】KADOKAWAグループにおける システム障害について
今回の攻撃は、ファイルの暗号化と窃取を同時に行う典型的な二重脅迫ランサムウェアによる大規模なものとされ、その流出したデータ総量は1.5TBともいわれています。
詳細調査のため関連するサーバは一度シャットダウンしたものの、再度遠隔操作で起動されてしまったことから、すべて電源プラグの抜線をしている状態であるとか、ほぼ全ての社員がオフィスへの出社を停止としているなどとの報道もありました。
目に見えている部分はもちろん、見えていない部分でも大きな被害を被っていることがうかがえます。
探偵物語
また、本コラム執筆時点で、以下の情報の流出を確認したとの公式発表も確認できています。
出典:ランサムウェア攻撃による情報漏洩に関するお知らせとお詫び
復旧へのロードマップや情報漏洩に関する追加情報を含め、各ステークホルダへの公式な説明について、本コラムの校了後に大きな発表があるはずですので、引き続き7月以降も大きな注目をあつめることになりそうです。
メイン・テーマ
サイバー攻撃を受けるリスクは多かれ少なかれどの組織にもありますが、組織としての説明責任を果たすために実施しておくべき事前の予防と検知後の判断でスタートする事後の対応で、その被害レベルが大きく変わってくることは皆さまもご承知のとおりです。本コラムの読者の中で、しかるべきポジションに就かれている方々におかれましては、管理下のシステムに対しランサムウェア攻撃が成功してしまったときに、ご自身がカメラの前で頭を下げるときに苦しい答弁とならないよう、特に以下の3点について日頃より十二分にご検討をいただくことを強く推奨いたします。
- レジリエンスを持ったサービスの提供を念頭に、そのバックアップおよびリカバリフローを事業責任者の責務として文書化し、常に最新化できているか?
- 定期的にBCPをと整合性が取れたシステムレベルのリカバリ訓練を実施しているか?
- ランサムウェア攻撃を受け、身代金を要求された場合の対応方針と意思決定フローを事前に準備してあるか?
KADOKAWAグループにおけるシステム障害についてのお詫びとお知らせ
ニコニコのサービス停止に関するお詫びと今後について
欲を言えば④として
「各サービスのセグメンテーションは、それぞれが必要とするセキュリティレベルと関連性を考慮して、必要十分に実施されているか?」
も加えたいところですが、ちょっと正確な把握には時間を要すこともあり、まず上記3点を確認頂くことが最優先と考え一旦は外しておきました。
最後の③については、単なる保身や瑕疵の隠ぺいのために身代金を払うのか?
人命の危機を回避するために身代金を払うのか?
では判断が違ってくるのという点には同意される方も多いのではないでしょうか。
汚れた英雄
本インシデントでは、身代金支払いの有無とその経緯が漏洩した情報の規模とサービスの復旧時期と並んで大きな関心事となっています。タイムリーなことに、4月にこのようなセキュリティベンダの調査発表のニュース(身代金を支払わない結果、日本のランサムウェア感染率は減少? ランサムウェア感染率/身代金支払率15か国調査 2024)があり、見かけた方も多いかもしれません。
> 2023年の現状について、世界15か国の7500人の社会人および1050人のセキュリティ担当者に調査を実施
「日本企業は身代金を払わないから脅威アクター(サイバー犯罪者)から見てもコスパが悪く、年々狙われることが少なくなっている!」というロジックが展開されているようですが、今回の件を考え併せてみると、こんな調査に本当に真実を回答しているのか?正直非常に疑問です。
規模の大小はあれ、インシデントの事実や身代金の支払いを日本企業特有(と言ってしまうと失礼かもしれませんが)の隠蔽をしてきた事実もあるのか、とも考えを巡らせてしまいますよね。
人間の証明
ちなみに、上記をまとめた二次ソースによると初回の身代金を支払いデータ復旧成功
⇒41% (ただし日本に限定すると17%にすぎない)
初回支払い後、追加で身代金を請求されそれを支払いデータ復旧成功
⇒43%
最大2回の身代金支払いで8割以上が復旧で成功という部分は肌感覚的な参考になりますね。
復旧に成功しなかった残りの多くは、初回の身代金は支払ったが追加の身代金は拒否したケースだそうです。
最悪の結果となる選択肢ですが、これは私の心情としてもよく理解出来る結果です。
蘇る金狼
交渉とはややシチュエーションが異なりますが、ゲーム理論におけるしっぺ返し戦略はご存じでしょうか?そのまま引用します。
--
しっぺ返し戦略(しっぺがえしせんりゃく、英: tit for tat)とは、ゲーム理論におけるゲームの1つ「繰り返し囚人のジレンマ」(プレイヤー=囚人が、ゲームの繰り返し回数を知らされない無期限繰り返しゲーム)での戦略の1つである。
アメリカ合衆国ミシガン大学の政治学者ロバート・アクセルロッドの呼びかけで、世界中の専門家から集められた戦略をリーグ戦方式で対戦させる選手権が2度開催されたが、2度ともしっぺ返し戦略が優勝している。
--
しっぺ返し戦略では、
1手目は協調を選択する。
2手目以降のn手目は、(n-1)手目に相手が出した手と同じ手を選択する。
例えば2手目の場合、1手目に相手が協調を選択していたら協調を選択し、1手目に相手が裏切りを選択していたら裏切りを選択する。
--
つまり、最初は相手を信じ要求をのむことを選択しますが、その結果相手が裏切って期待どおりのリアクションをしなかった場合、次回はこちらも相手を信じず要求をのまない、というアクションをとるという流れです。
どこかで耳にして無意識に実行している方も多いかもしれませんね。
ただし、これはお互い対等な立場で自由に選択ができることが前提のゲームにおける戦略です。
そもそも、交渉材料のない一方的に不利な状況からの交渉では役に立ちそうにないですね。
復活の日
漏洩した情報の規模とサービスの復旧時期と並んで、身代金支払いの有無とその経緯が本インシデントの大きな関心事となっていることはすでにお伝えしましたが、身代金交渉についてこの春リリースされた書籍(民間軍事会社:「戦争サービス業」の変遷と現在地)の中に面白い記載がありました。平和な日本では知られていませんが、海外ではこのようなニッチなビジネス/サービスも一定の歴史があるようです。少し長いですがP47~49の一部を引用します。
~
もう一つSASの元隊員が「開発」したユニークなサービスとして、身代金誘拐のコンサルティングが挙げられる。このサービスを提供するトップランナーが英国のコントロール・リスクス社である。同社は保険ブローカーであるホグ・ロビンソン社の子会社として一九七五年に設立された。
当時誘拐事件の続発を受けて、ロイズ保険が身代金支払いに対する保険という新事業を開始した。しかし身代金が確かに支払われたかどうかを確認する必要性や、身代金の支払いを最小限に抑えることが必要になり、その目的のために設立されたのがコントロール・リスクス社だった。身代金保険に入っているからといって、誘拐犯の言い値で身代金を簡単に支払われては保険会社としては困る。そこで身代金保険を購入している会社の社員が誘拐された場合、この保険の付帯サービスとしてコントロール・リスクス社のコンサルティングが付いてくるという仕組みである。
単に身代金の額を抑えたいというだけではなく、簡単に支払ってしまうと誘拐犯に対して「また誘拐しよう」というインセンティブを与えてしまい、再び同じ会社の社員が狙われてしまうことも想定されるため、身代金の厳しい値引き交渉を通じて誘拐犯に心理的なプレッシャーを与え、再発を防止することもこうしたコンサルタントの役割だとされている。
いずれにしても、コントロール・リスクス社のコンサルタントは、社員が誘拐された会社に派遣され、身代金交渉のための戦略を策定する助言や、最終的に支払う身代金の金額で狙人側と交渉して人質を救出するまでの助言を行う。ちなみに、こうしたコンサルタントは自身で交渉は行わずあくまでアドバイス(助言)をするだけなので、ネゴシエーター(交渉人)ではない。
~
身代金誘拐交渉コンサルティングは、軍で培った知識や技能を民間で活用させた極めてユニークな事例だと言えよう。
~
※SAS(Special Air Service/特殊空挺部隊)⇒イギリス陸軍の特殊部隊
ちなみに、日本では現状以下のようなセミナーが見つけられるようです。
一般社団法人 日本在外企業協会 シミュレーションセミナー(誘拐発生から解放まで)
コラムの対象であるサイバーの世界に目を向けると、数は少ないですが以下のような記事も公開されています。
『サイバー攻撃者との「交渉」の舞台裏と、これからのインシデントレスポンス』が公開
サイバーの分野で、この分野のサービスが今後のどのようにメジャーになっていくのか?ならないのか?はウォッチしていく必要がありそうです。
里見八犬伝
出版事業といえば重要インフラでこそありませんが、社会に文化的な価値を提供するという点では言うまでもなく大きな役割を果たしています。歌舞伎座タワーで必死のインシデントレスポンスが進められていた6月。
その直下の歌舞伎座では萬屋(よろずや)“六代目中村時蔵”の襲名を披露する六月大歌舞伎が連日大入りの大盛況でした。演目の中に滝沢馬琴の南総里見八犬伝の一幕があったのは何かの縁にも思えます。
この興行では、同じ萬屋一門である二代目中村獅童の2人のご子息も初舞台を踏みました。
獅童丈といえば、なんといってもボーカロイド初音ミクとコラボした新しいスタイルの歌舞伎である「超歌舞伎」シリーズの座頭としての活躍が近年大きな話題となっています。
この超歌舞伎の重要な制作パートナー会社がもつIPとその事業継続の行く末は非常に気になるところです。
【ニコニコ超会議】90秒でわかる!超歌舞伎 supported by NTT
おわりに
本文で引用した書籍「民間軍事会社:「戦争サービス業」の変遷と現在地」のP45に深い印象を持った箇所がありましたので、備忘というか参考として引用します。失敗が死に直結する組織の言葉には重みを感じます。~
特殊部隊の世界の「標準」をつくったのはSASである。SASの元隊員たちに聞くと、彼らの強みはどこの特殊部隊よりも経験が長く豊富なことだという。もっと言えば、様々な作戦を通じた「失敗の経験」を持っていることだという。
あるSASの元上級曹長は、「我々の部隊は他のどの特殊部隊よりもたくさんの失敗をしてきた。そしてそうした悲惨な失敗の経験から得た教訓が蓄積されている」と筆者に説明したことがある。
~
ではまた、次回のエントリーでお会いしましょう。
Hiroki Sekihara,
CGEIT, CRISC, CISSP, CCSP, CEH, PMP, CCIE #14607 Emeritus,
AWS Certified Solutions Architect – Professional,
AWS Certified Security – Specialty,
Microsoft Certified Azure Solutions Architect Expert,
Microsoft Certified DevOps Engineer Expert,
Google Cloud Certified Professional Cloud Security Engineer,
Oracle Cloud Infrastructure 2023 Architect Professional,
Oracle Cloud Infrastructure 2023 Security Professional,
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エンジニアによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。
