「身代金」「初動対応」、"KADOKAWA事件"の教訓 凄腕ホワイトハッカーが語る日本企業への警告
――KADOKAWAの初動対応をどう評価していますか。
日本ハッカー協会 代表理事 杉浦隆幸氏(以下、杉浦) 侵入されていることに気づきながら、追い出しきれなかった点ではだめだった。2カ月近く事業がストップしていることも考えると、重症度は高いと言える。
KADOKAWAは自社でシステム基盤を作っている。技術力はあるものの、セキュリティとシステムは違う。とくにバックアップ体制を作るのは専門家でないと難しい。セキュリティにはあまり力を入れていなかったのだろう。
システムを外注していれば、ある程度バックアップ体制が作られることが多い。バックアップ体制が取られていれば復旧はもう少し早い。昨年、ラスベガスでカジノホテルを運営するMGMリゾーツが大規模なランサムウェア攻撃を受けたが、バックアップを取っていたので復旧は早かった。
今回攻撃を受けたKADOKAWAの仮想化基盤には、ヴイエムウェアの製品が使われていたとされる。ヴイエムウェアは昨年のブロードコムによる買収後、無料だった製品が有料化されたり、受発注業務が滞ったりしており、さらに脆弱性も発見されていた。この脆弱性も放置されていたのではないか。
ハッカーは反社やテロリストではないので、身代金を支払うこと自体は違法行為ではない。グローバルでは払われることが一般的だ。ただ、払ったことは公言されない。いくら払ったと言うと、無駄に(サイバー犯罪の)業界を刺激してしまうからだ。
国内では専門家が足りていない
――日本企業のサイバーセキュリティ対策に課題はありますか。
杉浦 堅牢なシステムを作っても、それ自体がお金にはならず、事件が起こらない限りは評価されない。セキュリティ対策をすることで例えばテレワークができるようになるなど、利便性を向上させることができる。このような形でセキュリティ対策はきちんと価値を生んでいるはずだが、間接的なのでわかりにくい。
どのようなセキュリティ体制を取るかについては個社の判断だが、上場企業でも非IT系企業を中心に、そういった判断をできる人がいないケースは珍しくない。最初はバックアップをきちんとやっていても、年々おざなりになって(サイバー攻撃後に)復旧できないことも多い。
ただ、経営者がきちんとニュースや情報に日頃から接していれば、危機感は持つはずだ。あとは専門家の数が重要だが、セキュリティの専門家は足りていない。アメリカでは余っているほどだが、国内では待遇が良くないわりに、資格の維持にお金がかかるという背景がある。
