どうも、第二弾です。Sakakibaraです。ローマ字表記なのは別に漢字表記を隠しているわけではなく、榊原と書くと”かしわばら””やなぎはら””かんばら”などと間違われることが多いからです。今年になって新種”かさはら”が発生しました(笑)

今日のテーマですが、皆さん気になったのではないでしょうか？インターネットに繋がっていない端末がランサムウェアに感染したという報告が相次いだ件。真相は被害企業が公表してくれない限り僕にもわからないのですが、一般論としては有り得ることなので、たとえばこんなことがあるよという話をしたいと思います。ちなみに、インターネットに繋がっていないのもそれはそれで危険だったりしますので頭に入れておいていただきたいです。

まず可能性の１つ。絶対つながない、と決めていたのに実際にはつないでしまっていたパターン。このケースですが、誰だ勝手にそんなことしたのは！という前に、本当にそのPCはインターネットに繋がずに使用していくことができるのか？ということを今一度考えてみましょう。

例えば、よくあるのは会社で個人に貸与するのではなく、デモ用なんかで利用する、必要な時に貸与されるタイプのPC。そういう端末は、貸与された後、そのPCにUSBか何かでファイルコピーしてデモを行います。ここです。

インターネットに接続しているかどうかというのは、別にそのPCが直接つながることがあるかどうかではなく、バケツリレーでAさん→Bさん→CさんとつなげるときにAさんの持っていた水がCさんに渡されるように、間接的にでもインターネットに繋がっているPCとつながっていれば”つながっている”のです。

こんなことを考えると、インターネットにつながらないPCなんて、殆ど無いのではないでしょうか？よく、工場で使われている制御システムはインターネットにつながっていませんが、センサーから上がってくる膨大なログデータをメンテナンス企業が持ち帰って正常稼働しているかどうかを見るとか、修正プログラムを適用するためにファイルを持ってくるとか、そんなことがあります。このとき、どうやってファイルを移しているんでしょうか？そして、移した先のネットワーク環境は、どこまでバケツリレーしてもインターネットにはつながっていないのでしょうか？きっと、そんなことはないでしょう。

そして、つなげていないPCは、つながっていないからこそパッチも古いしマルウェアの定義も古い。攻撃にはからっきし弱いのです。

ではどうするか？ちゃんと、PCのライフサイクルを管理し、リスク評価をすることです。ライフサイクルとは、PCを入手してから廃棄するまでの一連のサイクルです。さっきのPCなら、OSインストール→その他ソフトインストール→ID払い出し→貸与→返却→クリーンインストール→いずれ廃棄、みたいな、そのPCに関する業務プロセスです。この中で、リスクが無いかどうかを評価します。

ライフサイクルを確認すると、外からファイルコピーする際に間接的にインターネットにつながります。しかし、仮に感染してもクリーンインストールする運用だし、直接イントラネットにつないではいけないから社内のほかの端末に波及することもない。なので実害はない、という想定が出来たりします。

あれ？でも、一度感染してしまい、そのあとクリーンインストールせずに又貸しされてしまったらマズイんじゃない？と思った方は才能アリです。

こんな感じで、社内の様々なIT資産に対しリスクの洗い出しを行い、それぞれのリスクは何をどうすればゼロにできるのか、ゼロにできないまでもどこまで軽減できるのか、仮に問題が起きても被害は軽微だから放置するのか、ということを検討することを「リスクシナリオアプローチ」と言います。サイバー攻撃やマルウェアのパターンは無限大なので、全パターンを防御することは不可能。なので、リスクが発動した時の影響と、対策実施の際のリスク軽減度合い、そしてお財布事情を天秤にかける際に、誰がどこを狙ってきそうか、どれがやられると被害が甚大なのかまでリスクシナリオで洗い出さないと、優先順位が決まらないのです。

しかし、リスクシナリオをまず作る、というところが日本は本当に足りていない。リスクはゼロにできないということを頭ではわかっていても、実際に行う対策の進め方はリスクをゼロにするための進め方なのです。色々最新のソリューションをぶっこめば、マルウェアになんて感染はしない、そういうことを前提にした進め方から変われていないのが一番問題なのです。

本日はこんなところです。まだ書くネタはいっぱいありますが、期待せずお待ちください。それでは本日のPickから抜粋です。

サイバー攻撃、国内2千台が感染　民間団体が分析 https://newspicks.com/news/2244611

【政府要人】日本最大の弱点「サイバー防衛」の実情 https://newspicks.com/news/2241953

米S&Pとナスダック最高値、サイバーセキュリティー関連に買い https://newspicks.com/news/2245170

ハッカーに身代金払った被害者は少数派、大半はビットコイン使えず https://newspicks.com/news/2245245

アングル：サイバー攻撃、備え薄い欧州とアジアに甚大な被害も https://newspicks.com/news/2243850

中国サイバーセキュリティ法の影響は？ https://newspicks.com/news/2241790

大規模サイバー攻撃、北朝鮮が関与か　複数社が分析 https://newspicks.com/news/2245398

全世界的なランサム・ウェアの攻撃を偶然の発見で停止できたようだ https://newspicks.com/news/2245855

「日本はルーターに守られた」、WannaCry流行でトレンドマイクロ分析 https://newspicks.com/news/2245904

世界同時サイバー攻撃　狙いはインフラ、IoTの盲点突く https://newspicks.com/news/2245159

サイバー攻撃招く内なる対立　米政府とIT企業 https://newspicks.com/news/2245275

サイバー攻撃　東急電鉄でもウイルス感染 https://newspicks.com/news/2245683

ディズニーの未公開新作、ハッカーが窃盗か「巨額」の身代金要求 https://newspicks.com/news/2245656