もしサイバー攻撃を受け、攻撃者からコンタクトがあったら
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」12月13日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・全容が把握できないサイバー攻撃被害の公表はどうあるべきか
・被害に遭っても犯行グループの要求に応えない姿勢の重要性
ニュース解説
東証1部上場企業の欧州子会社が被害にあったサイバー攻撃について公表しています。インシデント対応について細かく共有されていますので、内容について見ていきましょう。
今回のインシデントは、日本本社及び同社グループ台湾拠点のサーバに第三者からの不正アクセスの形跡を確認し、同社グループ欧州拠点での不正アクセスも確認したため、欧州内のネットワーク及び日本・アジア・米国とのネットワークを停止し、現地ITセキュリティ調査会社を含むチームで復旧対応と調査にあたったということです。
インシデントの原因として、VPN装置の脆弱性が挙げられています。対策として、不正アクセスの起点となったVPN装置の脆弱性を修正するとともに多重認証を強化、サーバを再構築したうえでバックアップデータをクリーンインストールし、サーバとPCのウイルスチェックを実施しています。また、再発防止策として、今後は外部専門家によるシステムセキュリティに関するアドバイザリー組織を新設するということです。
犯行グループから窃取したとするデータに対し、身代金を要求する脅迫メッセージが確認されていますが、同社では外部の弁護⼠や警察、公的機関等のアドバイスを受け、国際的な問題となっている犯⾏グループとコンタクトをとること及び⾝代⾦の要求に応じる予定はないということです。
全容が把握できないサイバー攻撃被害の公表はどうあるべきか
サイバー攻撃の全容が把握できない場合、被害者の保護を最優先として、考えられる最大値で被害の範囲を公表することが望まれます。
インシデント対応をしている際に、調査をするために必要なログが残されていない状態だと、サイバー攻撃の影響範囲が特定できない場合があります。そのような状況では、考えられる最大値で影響範囲を見積もり、対応をすることが求められます。今回のインシデントでも「二次被害を防ぐ観点から復元したサーバ情報に基づいて、流出した可能性のある個人情報及び一部の企業情報の現時点での最大数を見積もり公表に至った。」とあります。技術的な対策だけでなく、外部への公表についても被害者の保護に全力を尽くした、よいインシデント対応の事例であると考えられます。
逆に、不正アクセスの痕跡が確認できないから安全という最小値の判断をしてしまうと、後になって被害が確認された場合、その間に影響範囲が拡大してしまう可能性があります。インシデント対応の重要なポイントである「被害の局所化」を実現するためには、影響範囲を最大値で見積もることが極めて重要です。
その他のトピック
被害に遭っても犯行グループの要求に応えない姿勢の重要性
サイバー攻撃の犯行グループとコンタクトを取ったり、身代金の支払いに応じたりする必要はありません。理由は、さらに攻撃者の要求がエスカレートしたり、被害が拡大したりする可能性があるからです。(全文はこちら)