ビジネスお役立ち情報 > 企業のITセキュリティ講座 > サイバー攻撃の被害に遭った! そのときどうする? − 株式会社ラック・サイバー救急センターに聞く

企業のITセキュリティ講座企業のITセキュリティ講座

企業のITセキュリティ講座のトップへ

サイバー攻撃の被害に遭った! そのときどうする? − 株式会社ラック・サイバー救急センターに聞く

Webサイト改ざん、ウイルス感染など、サイバー攻撃の被害に遭ったら、どう対処すればいいのだろうか? 企業のサイバー被害の緊急対応を行う株式会社ラックのサイバー救急センターに、いざと言うときの対処法と、普段の心掛けを伺った。

24時間365日対応のサイバー救急センター

ラックのサイバー救急センターは、その名のとおり、セキュリティに関わる緊急事態に対応する119番のような緊急対応センターだ。24時間365日受け付けており、企業からのサイバー事件の相談を受け、ラックの専門部隊が対応する。セキュリティ専門の緊急対応サービスでは日本一と言ってもいいだろう。
今回は、ラック・サイバー救急センター・センター長、佐藤豊彦氏に話を伺った。

佐藤氏は使い込まれた携帯電話を手に、こう語る。

佐藤氏 「この携帯電話がサイバー救急センターの受付電話で、私が24時間365日持ち歩いています。サイバー攻撃の被害で困っている方からの話を聞き、私がメンバーに指示を出します」

三上 「まるで本物の119番のようですね」

佐藤氏 「やっていることは、ほぼ同じだと思います。119番が『火事ですか? 事故ですか?』と聞くように、『どうされました? いつ、どこで、何が、そしてなぜ気づきました?』と話を聞きます。5W1Hですね。かけてきたお客様は、被害に遭って動転していても、ゆっくり5W1Hを聞いていると落ち着いてきます。まずは話を伺うこと、これがサイバー救急センターの最初の役割です」

ラック・サイバー救急センターのセンター長、佐藤氏の画像

ラック・サイバー救急センターのセンター長、佐藤豊彦氏。

佐藤氏 「最初は、2005年に『個人情報119』としてスタートしました。当初は兼務で当たっていたのですが、事件対応が増えてきたこともあって、2009年に『サイバー救急センター』として専門部隊を発足。それでも年間対応件数は、数十件程度でしたね。今では年間で300件前後対応しており、電話の数はもっと多くあります。25名前後が専門で対応しています」

三上 「25名で対応と言うことはコストも相当かかっていますね?」

佐藤氏 「はい、かなり(笑)。採算が取れているかと言うと微妙かもしれません。過去も含めると完全に赤字ですね。ただ事件対応がきっかけで、その後にラックのお客様になっていただくこともあるので、ビジネスとしては成り立っていると信じて対応しています」

三上 「電話相談などの料金はどうなっていますか?」

佐藤氏 「電話での相談は無料です。状況をインタビューして、電話でできるアドバイスは無料で行います。ここで多くのご相談は解決できます。その後に必要に応じてお客様のところへ行き、『トリアージ』を行います。非常事態に際して、対処策の優先度を決めることが重要ですが、ここまでは無料で行います。最終的にどんな処置をするか、ラックがどこまでお手伝いするかで、その後の料金をお客様と決める形です」

三上 「ということは電話相談は、ボランティアですか?」

佐藤氏 「ボランティアに近いかもしれませんね(笑)。でも、さまざまな相談を受けることで我々の経験値も上がりますし、将来的に契約につながることもありますから対応できるのです」

複雑化するサイバー攻撃の手口。「発表するかどうか」を含めて企業の対応も難しくなってきた

サイバー救急センターにはさまざまな相談が寄せられる。標的型などのマルウェア感染、Webサイトの改ざん、情報漏洩(ろうえい)、ソフトウェアのアップデートの問題、そして内部犯行まで、あらゆるセキュリティのトラブルに対応している。最近の傾向について、佐藤センター長に話を伺った。

佐藤氏 「ここ数年、手口が複雑になってきていますね。マルウェアの感染でも、標的型攻撃、フィッシング、水飲み場攻撃などさまざまなパターンで侵入してきます。手口が巧妙なため、感染していることを知らずに、被害が出てようやく気づくことが多くなっています」

三上 「最近の事件で特徴的なことは?」

佐藤氏 「ソフトウェアのアップデート機能を利用してマルウェア感染が発生したことですね。今までソフトウェアアップデートは安全で信頼できるものだと誰もが思っていましたが、そこでマルウェアに感染してしまう。配信するCDN(コンテンツデリバリーネットワーク)(注)がやられて、動画再生ソフト・エディターなどのアップデートで企業でも被害が出ました」

注:Content Delivery Networkの略。Web コンテンツを高速配信するために最適化された仕組みのこと。

三上 「犯人側が感染を隠す技術も向上している?」

佐藤氏 「そうですね。難読化も高度になっており、マルウェア感染して外部にファイルが送られていても、暗号化されているために何が漏洩(ろうえい)したか分からないこともあります。被害範囲の特定が難しいのです」

三上 「となると、企業の対応も難しくなっていますね」

佐藤氏 「漏洩した範囲が特定できない、そして隠匿化によって痕跡が見つからないこともあります。そうなると企業側の対応も難しくなります。企業の顧客をどうやって守るのか、メディアに向けて発表するかどうか、その判断に困る企業も多いのです。ラックでは被害者への謝罪、メディアや関係機関などへのコミュニケーション支援も行っています」

改ざんの手口「サーバーソフトウェアの脆弱性攻撃」「SQLインジェクション」

企業のネットワークやPC、Webサイトが被害に遭った場合、どう対応すればいいのだろうか? 佐藤センター長は、最善の対応はなんと「抜線」だと言う。

ラック・サイバー救急センターのWebサイト

ラック・サイバー救急センターのWebサイト。年間で300件程度対応している(電話だけの対応はカウントしていない)。

ラック・サイバー救急センターのWebサイト
http://www.lac.co.jp/service/incident/cyber119.html

佐藤氏 「可能であれば、『抜線』して隔離することが理想です。まあ難しいことがほとんどだけど(笑)」

三上 「ばっせん? セキュリティの世界とは思えない、アナログな日本語ですね(笑)」

佐藤氏 「はい、抜線です。線を抜いて、社内のネットから隔離すること、もしくはサーバーを止めてしまうこと。これが非常にシンプルですが最善です。もちろんできないことも多いでしょうが、できるだけ処置をせずに、サイバー救急センターにご相談いただく方が、結果として早く解決できます」

三上 「ということは、企業側での復旧作業はしない方がいい?」

佐藤氏 「心情的には難しいと思いますが、何もせずに専門家に相談していただくほうがいいです。なぜかと言うと、復旧作業をすると、犯人の痕跡を消すことになるからです。ディスクの削除領域に残っている犯人の痕跡を、オーバーライトしてしまうことになります。
例えるならスキー場での事件でしょうか。犯人の痕跡は、ゲレンデの雪に足跡として残っているのに、配慮せずに調査してしまうと、足跡が消えてしまう。つまり証拠が消えてしまうことになります」

三上 「ラックが受けている緊急対応でも、足跡が消えていることが多いのですか?」

佐藤氏 「多いですね。開発したシステムインテグレーターからすれば、自分で直したいと思ってしまいがちですね。マルウェアの除去や復旧をしてしまい、痕跡がなくなって解決が遅れることがあります。
事件、事故が起きた場合に警察の鑑識が黄色いテープを張って現場を保全するように、サイバー攻撃の被害に遭った場合も何もせずに証拠を保全してほしいのです。理想的には、被害後のウイルスチェックもしてほしくないですね。被害が出てからウイルスチェックしても仕方ないですし」

三上 「次にやるべきことは何ですか?」

佐藤氏 「サイバー救急センターのような専門家に相談するに当たって、自社のサーバー契約やログ管理がどうなっているか、確認しまとめていただきたいですね。例えば、データセンターとの契約がどうなっているか、サーバー管理はどのような環境でどこが行い、ログ管理は何をどこまでしているか? といった点です。サーバーとネットワーク状況が把握できれば、早く対処できます。いわゆる身元調査ですね。 これを『情報資産の洗い出し』と呼んでいるのですが、普段から準備しておいてほしいことです」

三上 「情報システムの担当者としては、緊急時にどんな対応をするのがベストですか?」

佐藤氏 「被害が分かったら、すぐに報告すること、エスカレーションです。被害を隠すのでもなく、犯人探しをするのでもなく、上司に話を上げること。自分たちだけで処理しようとすると結果、被害が拡大することが多いですから。
上司の立場であれば、事故が起きたら怒るのではなく『よくぞ知らせてくれた』と褒めて、専門家に連絡せよと指示することです」

三上 「でも事故で懲罰を受けることが怖いという方もいるのでは?」

佐藤氏 「今までの経験上、懲罰が重い会社ほど、闇に隠れてしまい対応が遅れ、サイバー攻撃の被害が大きくなっています。懲罰を受けるかもと思って隠すと、スピード感を失い、企業としてはマイナスになります。今やどの企業もサイバー攻撃を受けているのですから、仕方がないことだと考え、懲罰なしで冷静に解決策を探ることが大切です」

普段からできるサイバー事件の被害対策

ラック・サイバー救急センターの初動対応表

ラック・サイバー救急センターの初動対応表。電話でヒアリングし、現場を確保。その後に調査・分析、コミュニケーション支援、ダメージコントロールなどを行う。

ラック・サイバー119サービス 対応概要
1.初動対応 / インシデント レスポンスより
http://www.lac.co.jp/service/incident/cyber119.html

三上 「では、普段から準備しておくことを教えてください」

佐藤氏 「まずは先ほど述べた、自分を取り巻く環境の身辺整理、調査ですね。データセンターの契約とか、ログ管理の方法などをまとめておくことです。
次に大切なのは、緊急時に備えた訓練です。自社のWebサイトが改ざんされたらどうするのか、サーバーを止めることはできるのか、カード決済があるならどう対処するのか、抜線できるか、と言ったことを事前に考えておくことです。緊急時でも慌てないように、自社が被害に遭ったことを想定して訓練しておくことをお薦めします」

三上 「社内の体制についてはどうですか?」

佐藤氏 「インシデントが起きたときに、誰が決断するのか決めておいてください。誰が判断するのかハッキリしていると、スムーズに緊急対応が可能になります。
サイバー救急センターでは、いつも『決裁権を持っている人と話をしたい』とお伝えしています。決裁権がないと、情報のやりとりと検討に時間がかかって、対処が遅れてしまうからです」

三上「ログの管理についてはどうですか?」

佐藤氏 「ログ管理をしっかり行い、インシデントが起きたときにトレースできる仕組みがあるのが理想です。しかし中小企業では難しいこともあるでしょうから、次の対策として、何が、どれだけ、どこに、どの期間あるかなどのログ管理をしっかりしてほしいですね」

「慌てず騒がず」状況をいち早く専門家に伝えること

サイバー攻撃への心構えについて、佐藤氏は「社内で処置するのではなく、いち早くセキュリティの専門家に相談することがベスト」と語る。

佐藤氏 「『慌てず騒がず、まずは専門家に相談すること』をお薦めします。サイバー攻撃の被害に遭うと、多くの企業が社内や関連企業だけで対応し、処置が遅れ、被害が拡大してしまうことがあります」

三上 「処置が遅れてしまう具体的な例がありますか?」

佐藤氏 「我々は『魔の金曜日』と呼んでいるのですが、金曜日の17時以降の相談がすごく多いです。なぜかと言うと、週の前半で被害が発覚し、最初は社内でいろいろ処置をしようとして時間が過ぎてしまいます。で、にっちもさっちもいかなくなって、金曜日の夜になって、サイバー救急センターに電話をかけてくるパターンです。このパターンは、被害が大きくなりがちです」

三上 「そうせずに早く相談することがベストですね?」

佐藤氏 「社内で済ませたいと言う気持ちは分かりますが、サイバー攻撃の手口が複雑化した現在では、社内だけでの対処は難しいでしょう。何もせずに、できれば『抜線』をして、専門家に相談することが最善です」

今回はラックのサイバー救急センターについて話を聞いたが、もしセキュリティ全般のコンサルティングを依頼している場合は、そのコンサルティング会社に相談するのでもいいだろう。複雑化するサイバー攻撃の被害を食い止めるには、社内だけで対処せず、すぐに専門家に相談することがベストである。

テキスト/ITジャーナリスト・三上洋

企業のITセキュリティ講座