サイバー攻撃はロシアの仕業なのか

ロシアによるウクライナへの侵攻が始まり半月以上が経ちます。
その間、各国からロシアへの経済的な制裁が加速し、それに対して
ロシアから各国へのサイバー攻撃による報復行為が懸念されていることは
一般人の方でもご存知のことと思います。

前回の記事で、懸念されているサイバー攻撃に対する対策についても
掲載させていただきました。
今回は、これまでに実際に起きたサイバー攻撃について、
実際にロシアによるものなのかを
独自に考察した内容を掲載していこうと思います。
(※あくまで考察であり信憑性は保証しません。)

※参考：前回の記事(ルーターのPW変更等について)

これまでに起きたサイバーセキュリティ

①小島プレスのケース

☆参考記事☆

サイバー攻撃か…小島プレス26日夜にサーバーダウン　トヨタの仕入れ先企業（日テレNEWS） - Yahoo!ニュース

小島プレスの公式サイト情報を掲載するべきと考えましたが、
サイトへアクセスできないため外部報道情報を載せました。
応答時間が長いというものですが一向に改善しないので、
おそらく一時的な閉鎖に近い状況なのでしょう。

トヨタ自動車の仕入先であることもあり大きな話題となった一件で、
トヨタも生産ラインの一時全面停止に追い込まれています。

この被害についてはコンピューターウイルスの一種である
「ランサムウェア」による攻撃と説明されています。

ランサムウェアに感染した場合、コンピューター上のデータが暗号化され
全く中身の情報を閲覧や処理などができなくなったうえで
特定の要求に応じないと不利益をもたらすという脅迫をされます。
「金払え、払ったら暗号化を解除してやる」というものが典型的で
身代金要求型のウイルスとして知られています。

今回の小島プレスの場合、脅迫文の中にはURLが記載されており、
「そのサイトへアクセスしないと、機密情報を外部へ公開する」という
脅迫文・要求があったとされています。

無論、要求に応じて状況が改善されるわけがありません。
即座にシステムをネットから切断し、警察へ相談されたとのことです。

②ミライネットのケース

株式会社ミライコミュニケーションネットワーク-Mirai Communication Network Inc.- :: DDoS攻撃による通信障害のご報告

岐阜市でプロバイダサービス「ミライネット」を展開する
ミライコミュニケーションネットワークがDDOS攻撃の被害を受けました。

DDOS攻撃は特定のコンピューターに対し膨大な通信信号を短期間で送信し
キャパシティオーバーによるサーバーダウン状態を発生させる攻撃です。

かなり前ですが、年明けの瞬間に新年の挨拶を送信したユーザーが多すぎて
LINEの通信が不安定となる事象が起きたことがあります。
瞬間的に多数の人が同時にメッセージを送信したことで、
その情報処理をしているLINEサーバーがパンクしたというものです。

DDOS攻撃とはこのようなサーバーダウンを意図的に引き起こすものです。
コンピューター1台で行うものをDOS攻撃といいますが、
複数のパソコンから行うものをDDOS攻撃といいます。

一般的には多数のコンピューターの操作権限を一部乗っ取り、
そのコンピューターを攻撃に加担させることになるため、
DDOS攻撃の対象となるコンピューターやネットワークのみではなく
周囲のネットワークやコンピューターにも影響が出ます。

今回の場合、同じエリアで事業展開する恵那市のCATVユーザーにも
影響が及んだことがわかっています。
おそらくCATVユーザーのPCが攻撃用の踏み台にされたのでしょう。

複数のコンピューターを使って攻撃することから
攻撃を主導した本丸のコンピューターを特定しにくいことや
攻撃の威力を増大させる事ができるという特性があるので、
DOS攻撃よりもDDOS攻撃が採用されるのが一般的です。

前回ルーターパスワードの設定変更をおすすめする記事を書きましたが、
一般の方PCがDDOS攻撃に悪用されないように講じる対策とも言えます。

③その他の事例

以下は事例紹介・参照サイトの紹介に留めます。

☆ペンタブレット端末で有名「ワコム」
サイバー攻撃の種類などについては詳細の発表が見当たりません。
https://store.wacom.jp/user_data/info_chien220301.php

☆東映アニメーションの不正アクセス被害
この一件だけ原因は調査中。
サイバー攻撃に違いありませんが、ランサムウェアやDDOSと違い
「不正アクセス」と説明されていますので別種の手口とも思われます。

当社ネットワークへの不正アクセスによるシステム障害発生に関するお知らせ | プレスリリース | 東映アニメーション株式会社

これらの攻撃はロシアの仕業？

これまでにあげたサイバー攻撃について、昨今の情勢を鑑みて
「ロシアの政府・企業や団体」(以下ロシア)の仕業と思われがちですが、
実は現在の所、ロシアによる攻撃と断定されているものはございません。

実際に状況証拠がロシアを指し示しているのは明らかですが、
それを好機と捉え、カモフラージュの材料にしている
全く別の組織による攻撃である可能性も否定できません。

よってこの記事でも決して断言はしませんが、個人的に
「一部はロシアによるものである可能性が高い」と思っています。
最たる例が小島プレスとワコムの事例です。

サプライヤーを狙った攻撃

小島プレスやワコムの事例を見ると、
どちらも「サプライチェーン」を狙った攻撃と言えます。
これはロシアの関与している可能性は非常に高いと感じます。

サプライチェーンが傷つくと特に経済の影響が大きそうな国として
現在ロシアに寄り添う姿勢を見せている中国があります。

ロシアの軍事侵攻が北京オリンピック後になったのは
中国側がロシアに依頼したからだというもっぱらの噂です。
おそらく、ウクライナ独立から３０年半というある程度の区切りの日が
ロシア側の妥協案として採用されたのではないかと思っていますが、
パラリンピック後では無いのも意味深です。

いくらアメリカに敵対意識の強い中国といえど、
この国際情勢やロシアに従うメリットの乏しさを考えれば
いつロシアを切り捨ててもおかしくはないと思います。
それに対するロシア側の牽制でもあるのではないかと考えます。

本題のサプライチェーンについてです。
ざっくり言えば、「原料から部品を作り、
それを組み合わせて製品として完成させ、
その製品が販売されて、顧客に消費されていく」
この一連の流れがサプライチェーンです。

車一台見ても、分解すれば様々な部品があります。
足回りを見るだけでもタイヤにブレーキパッド、
ABSにサスペンションなど数えればキリがありません。

これらすべてを同じ会社で作るのは困難なため、一般的には
それぞれの分野で専門的な技術を持つ企業が部品製造を担います。
そしてその部品をもっと細かく分けた小部品や原料などを仕入れるため
部品製造を担う企業も更に別の企業と取引があります。

一つでも部品がかけてしまうと、最低限車として走ることは出来ても、
もともと想定していた走り心地とは程遠い挙動になります。
そんな車誰も買わないので、何か一つでも部品が不足すれば車は作れず、
車の生産は止まってしまいます。
原料供給のストップも影響することは目に見えます。

小島プレスはこのような部品製造を担う企業の一つで、
トヨタ自動車の創業期からの取引先です。
小島プレスがサイバー攻撃を受けたことにより
トヨタへの部品供給が止まったことで車そのものの製造が止まりました。

現在トヨタ直接の取引先は部品やソフトウェア開発の会社を含め
6000社を超えるとされています。
この6000社が取引している二次取引先まで数えれば数万社に及びます。
この数万社のどれかが攻撃を受けて作業が停止すれば、
結果的に車そのものの製造に影響が出ます。

その数万社全てが完全なセキュリティシステムを持ち、
完璧なセキュリティ啓発の教育を行う。
それができてるなら今頃日本はデジタル後進国になどなっていません。

物流事業の委託先企業がサイバー攻撃を受けたワコムの場合
製品を顧客に届ける部分の流れが止まったと見受けますが、
結果的にこのようなものも含めたパートナー企業、
サプライヤーへの攻撃であることが今回の事例の特徴です。

このようなサプライチェーンへの攻撃と違い、
ミライネットや東映アニメの一件は
ロシアにとってメリットが無いように見えます。

攻撃内容によってはロシアの主張を他国に発信するような事もできますが、
この世界情勢でそれが無意味なのも明白です。
何らかの経緯で個人情報を盗み出し闇市で売るなども出来ますが、
そんな小遣いであの制裁からの影響を帳消しにはできないことでしょう。

対策その１：リテラシーと意識は大事

小島プレスの事例で紹介したランサムウェアについては
主に対策は3つあります。

A:セキュリティソフトの適正な利用。
B:見覚えのないファイルやURLを開かない。
C:データのバックアップ

アタリマエのことですが、そもそもランサムウェアに感染しないよう
外部からランサムウェアが入らないようにすることや
入ってもそれを検出して駆除をするというのが基本の対策です。
これらはシステム(ファイアウォール)そのもののアップデートや
セキュリティソフトを最新版にすることで対策できます。
奇しくも、ウイルス検出率NO1の呼び声が高いのも
ロシアのカスペルスキーなわけですが。

そしてこれまたアタリマエのことですが、
セキュリティ対策をしていてもランサムウェアが検出されない可能性を
しっかりと認識しておく必要があります。
ランサムウェアが入って検出されない場合、システム上には
普段見慣れない名前のファイルが見つかる可能性がありますが、
「なんだコレ？」と確認するような作業は起爆スイッチを押すも同然です。

昨今はEMOTETなどの影響で「標的型メール」という言葉もよく聞きますが
このようなメールに添付ファイルで送られてくるランサムウェアにも
十分な注意が必要です。
おそらくこの手法が小島プレスの踏んだ鉄だと思っています。カンですが。

最期に、万が一感染した場合でも事業を継続、迅速な復活を目指すために
データのバックアップを保管することです。

受注データなどが別で残っていればその受注分は仕事はできます。
できればシステムそのものをまるっとバックアップできれば
ほぼ何事もなかったかのように事業を運営できるので良いのですが、
設備管理に倍の金が必要なのは言うまでもないので
すべての企業ができるものでもありせん。

小島プレスではおそらくある程度のデータバックアップが行われており、
暫定的に別のネットワークを活用して作業は再開できているようです。
社員の教育が出来ているか否かは疑念が残りますが、
社員全員が完璧なセキュリティ意識を持つというのは、
デジタル後進国の我が国において一握りの会社だけが為せる技です。
逆に小島プレスよりもっとひどい企業などザラにあるでしょう。

対策その２：サプライチェーンを見直す

さて、これまではIT記事っぽく対策を解説しましたが、
IT技術以外の事柄を含めて言えば他にも対策があります。
もし製造が止まるリスクに対策するなら「在庫を貯めておくこと」です。

鮮度が命の野菜や魚では在庫を貯めておくことは困難ですが、
販売する商品によっては在庫を貯めても保管場所さえあればいいのです。

トヨタは、必要なものを必要なだけその都度発注する
「ジャストインタイム」という方式を生産ラインに採用しています。
(※かんばん方式で有名。)
このため、いざサプライチェーンが滞ると製造や販売に即影響が出ます。
在庫を持っておけば在庫切れの前に対策が打てる可能性もあります。

もっとも何千の取引先から届く部品は流石に保管も困難なので、
トヨタにおいてそれを対策とするのは非現実的です。
せいぜい一部部品を見直す程度が精一杯だと思いますが、
管理手法に一貫性がないという意味で愚策です。
どちらかといえば、これから小規模な事業経営を行う方向けの
検討するべき方法の一つくらいに考えておくといいでしょう。

一例として、昨今流行りらしい冷凍食品専門店などがあるそうです。
賞味期限が長く、乱暴に言えば冷凍庫に商品ぶちこむ陳列だけでもいいので
バックヤードが不要なことなどがメリットとされています。

しかし、バックヤードも持って運営するというのであれば、
在庫を一定数抱えておくのも一考です。

冷凍コストを抑える手法や技術ができるか否かはわかりませんが、
バックヤード側の一部の冷凍庫スペースをシェアするサービスを作ったり、
店舗数を多数展開できるようであればクール便商品の保管に活用するなど
対策方法はいくらでもありそうです。

SDGsに伴いフードロスをなくす取り組みなどが目に付きますが、
冷凍食品という時点である程度解決はできている内容です。
無駄な在庫を抱えないことばかりが対策というわけでもなさそうです。