｢身代金｣｢初動対応｣､"KADOKAWA事件"の教訓 凄腕ホワイトハッカーが語る日本企業への警告

――そもそもなぜKADOKAWAが標的となったのでしょうか。

福森 ハッカー集団はKADOKAWAに狙いを定めたというより、たまたまKADOKAWAが入れる状態だったからだろう。

例えばオンラインサービスが主力商材の企業は、サイバー攻撃によりサービスを停止させられるなどしたら、ビジネスの継続が困難になって致命傷を負う可能性がある。

では、オンラインサービスを主力としている企業だけがサイバー攻撃の標的になるかというとそうではない。ランサムウェアでいうと、攻撃者としては身代金を払ってくれればどこでもいい。業種や業態、規模を問わず、攻撃が刺さればその企業に攻め入っていく。

――KADOKAWAの防御体制が甘かった、ということでしょうか。

福森 現時点では、既知の脆弱性（セキュリティ上の欠陥）を突かれたのか、「未知の脆弱性」（アプリケーションやOSなどに存在する、ベンダーが認識していない脆弱性）を突かれたのか、原因が公表されていないのでわからない。例えばKADOKAWAがパッチ（修正プログラム）を当てるのが遅かったから、被害が拡大したのか。あるいはパッチは最新版にしていたけれど未知の脆弱性にやられた、という可能性もある。

いつどこの会社が同様の被害にあってもおかしくない。攻撃者は攻撃の仕方を日々研究していて、ベンダーがパッチを出したらそのパッチを解析し、どこをどう攻撃すれば成功するのかを24時間体制でウォッチいるような状況だ。

どの段階でKADOKAWAが気づいたのかわからないが、データが暗号化される前にマルウェアを見つけられるケースも多い。いちばん大切なのは、気づいたら暗号化されないうちに被害を食い止めることだ。

被害を抑える2つの事前対策

――日頃からどんな手立てを打っておけば、被害を最小限に抑えられますか。

福森 1つは社員の端末にセキュリティ制御の仕組みを入れて、不正なプログラムを検知した時点で、ネットワークから自動的に隔離できるようにすること。そうすれば、ファイルサーバーには感染が広がらず、被害をその1台だけで食い止められる。

もう1つは、（サイバー攻撃で狙われやすいとされる）VPNがどこで使われているかを会社が把握しておくことだ。

リモートワークが浸透して、各部署が勝手にVPNを使い始めているといったケースが結構ある。本社はしっかりしていても、海外の小さな支社がVPNをきちんとアップデートしていなかったという事例も多い。VPNを使うときは、どの製品のどのバージョンを使用しているかを把握し、新しいバージョンが出たときには24時間以内にアップデートする、などといった資産管理を徹底しないといけない。

また、よくあるのが、怪しいファイルが来たときに社員が勝手に消してしまうこと。消してしまうと専門家が後から調査できなくなるので、怪しかったら消さずにシステム管理者に連絡する。なりすましのメールが来て、それを開いてしまったときにどういう対応をするか、などといった日頃の訓練は役に立つだろう。