キーワードは 「全体俯瞰」と「サプライチェーンリスク」
“KADOKAWA事件”で企業の尻に火がついた 重大事例から考える2025年からのランサムウェア対策
2025年02月03日 11時00分更新
2024年も猛威を振るったランサムウェア。社会への影響の大きさは確立されつつあり、IPAによる「情報セキュリティ10大脅威(組織向け)」では、2021年から最新の2025年版まで、1位に選出され続けている。国内の被害も、2024年上半期には128件発生と、警察庁レポートで過去最多となった。
しかし、企業がその脅威を本格的に意識し始めたのは、2024年6月に公表されたドワンゴ/KADOKAWAグループのランサムウェア被害からではないだろうか。「2025年からのランサムウェア対策」を考える特集の第1回では、2024年の重大な国内事例を振り返りつつ、今後のランサムウェア対策に必要となる視点を紐解く。
情報セキュリティ10大脅威 2025・組織向け(IPAのニュースリリースより)
ビジネスへの影響を再認識させたKADOKAWAグループのランサムウェア被害
2024年、最も話題となったセキュリティトピックであり、世間や企業のサイバー脅威に対する危機感を醸成したのが、KADOKAWAグループのランサムウェア被害だろう。パロアルトネットワークスの調査においても、90%のセキュリティ責任者が、この事例をきっかけとして自組織の経営層における「ランサムウェア被害への危機意識が高まった」と回答している。
なぜKADOKAWAグループの事例は、社会的インパクトを生んだのか。ひとつは、消費者に身近な「ニコニコサービス」全般が、長期間のサービス停止に追い込まれたことだ。ランサムウェア攻撃が、消費者の生活に直接影響を与える形となった。
加えて、従業員や取引先など、26万人を超える個人情報が流出。取引先であるクリエーターへの補償および調査・復旧作業として、約23億円の特別損失が計上されるなど、ビジネスへの大きな影響も注目された。
こうして、KADOKAWAグループの事例では、ランサムウェア被害で引き起こされる「業務停止」や「経済的な損出」「情報漏えいとそれに伴う信用棄損」のすべてが発生し、なおかつそれが「身近な事件」として報じられることになった。他の日本企業でも同様の被害が起きうる可能性があることを示し、ランサムウェアが企業に与える影響の大きさを再認識させるきっかけを生んだといえるだろう。
ランサムウェア被害公表後のYouTubeにおける状況報告の様子
サプライチェーンリスクの象徴となったイセトーのランサムウェア被害
もうひとつ、2024年に話題となったのが、イセトーのランサムウェア被害である。こちらはサプライチェーンリスクの象徴的な事例となった。
イセトーは、金融機関や保険会社、地方公共団体などの情報処理サービスを手掛ける企業だ。同社がランサムウェア攻撃を受けたことで、委託元が保有する約150万件の個人情報が漏えい。トレンドマイクロによると、被害がおよんだ委託元組織は54社にまで上った。
ここまで大規模な情報漏えいにつながったのは、イセトーが各委託元の個人情報を預かる業務(ダイレクトメールの印刷・発送など)を手掛けていたことによる。
サプライチェーンの委託先がサイバー攻撃を受けた“委託元”組織の数も年々増加している(トレンドマイクロの説明会資料より)
また、イセトーの事例における問題点は、契約上は消去されているはずだった個人情報が漏えいしたこと、そして、個人情報が保存してはならないネットワークに存在していたことだ。もはや、委託先のサイバーリスクに目を向けるどころか、預けた情報が漏えいすることを前提にリスクマネジメントを設計する必要性も生まれてきた。
2025年からのランサムウェア対策 ― キーワードは「全体俯瞰」と「サプライチェーンリスク」
ランサムウェアは、2017年に急速に被害が拡大した「WannaCry」でその名を知られるようになった。初期の攻撃手法は、WannaCryのような不特定多数に対して攻撃する「ばらまき型」がほんどであったが、やがて特定の企業や組織を狙う「標的型」が主流となっていく。
標的型では、さまざまな手法でターゲット企業への侵入を試みる。主要な侵入経路は、RDPやVPNなどの脆弱性だ。侵入後は、ネットワーク内での足がかりを強固にするために攻撃基盤を構築、そして情報を摂取して、ランサムウェアを実行、情報を暗号化する。
近年では、これらのランサムウェア攻撃に必要なものをサービスとして提供するRaaSの登場によって、高度なスキルや知識がなくても攻撃を仕掛けられるようになった。加えて、本格的な分業化も進み、ビジネスモデルが確立されたサイバー犯罪になっている。
ランサムウェアのエコシステムは、攻撃サービス(RaaS)の提供者であるランサムウェアグループ、侵入手段を提供するIAB、実際に攻撃を実行するアフィリエイトに分かれる(WithSecureの説明会資料より)
こうして高度化・巧妙化が進むランサムウェア攻撃だが、その本質は「身代金目的の脅迫を行う犯罪ビジネス」である。データを暗号化する代わりに、窃取した機密情報の公開をちらつかせて身代金を要求する「ノーウェアランサム」すら登場するなど、金銭的利益を得るためならば攻撃手段は問わないのが実態だ。
つまり、特定のマルウェアや攻撃手法に注目して、ディテールだけを追いかけても、追いつかないばかりか、ただでさえ不足している対策コストや人的リソースを無駄に消費してしまう。
そのため、これからのランサムウェア対策には、特定のセキュリティ製品や部分的な対策に依存せずに、システムやプロセス、セキュリティポリシーなどを「全体俯瞰」して、問題点を可視化することが求められる。加えて、攻撃側の進化に対応しきれないことを考慮して、侵入されることを前提とした対策も必要だ。
この「全体俯瞰」に役立つのが、NIST(米国立標準技術研究所)が定めている「NIST サイバーセキュリティフレームワーク(NIST CSF)」だ。ランサムウェアにも応用できるセキュリティ対策の汎用的なフレームワークであり、特定・防御・検知・対応・復旧と、事前対策だけではなく、事後の復旧まで広範囲にカバーしているのが特徴だ。これを参照することで、各フェーズにおける対策の抜けや漏れが生じていないかを確認できる。
NIST サイバーセキュリティフレームワーク、最新版である2.0が公開されている
もうひとつ、これからのランサムウェア対策で重要となる視点が、「サプライチェーンリスク」への対応だ。今や、大手企業を狙う攻撃側は、関連会社や取引先、委託先といったサプライチェーン全体を攻撃対象領域としている。特に、イセトーのようなデータが集積されるサプライチェーンが被害を受けると、大規模な情報漏えいにつながる。上述した「全体俯瞰」のセキュリティ対策では、関係会社や取引先、利用するサービスにまで目を向けて設計する必要がある。
もちろん、サプライチェーンの一翼を担う中小企業側も他人事ではない。冒頭で触れた警察庁レポートでも、中小企業の被害が64%を占めている。大企業のセキュリティ対策が進むにつれて、攻撃のターゲットはより脆弱かつ足がかりにもなる中小企業へと移りつつある。
連載第2回では、セキュリティフレームワーク「NIST CSF」の最新版をベースに、全体俯瞰したセキュリティ対策に必要な要素を紹介していく。