おはようございます。こんにちは。こんばんは。
ミッド(@mid_v_lab)です
最近ニュースを見ると、「ランサムウェアの被害にあって・・・」という記事を多く目にします。
ちょっと前まではEmotetが主流でしたがサーバをつぶされたので、ここ数カ月はランサムウェアに手法が切り替わっている感じです。
今日は2021年に入ってからのランサムウェアのニュース記事をまとめてみました。
2021年4月~6月11日までのランサムウェア被害
社内SE(特にセキュリティ系)がよくみるサイト、『SecurityNEXT』様より抜粋しております。SecurityNEXTでの報道日時をもとにした期間指定となります。
| 被害日(報道日時) | 被害会社 | 感染被害 | 備考 |
| 6月2日(6月11日) | カネダ | 一部サーバとパソコン | 医薬品や化学薬品などを取り扱い |
| 5月4日(6月11日) | 東芝テック | サーバ | 欧州の5拠点 |
| 6月3日(6月7日) | KADOKAWA | サーバ | 台湾子会社 |
| 4月14日(6月3日) | 日本サブウェイ | サーバ | 個人情報あり |
| 6月1日(6月3日) | 富士フィルム | パソコン | サービスに影響あり |
| 2月8日(5月14日) | 小森コーポレーション | サーバ | ファイルサーバ、米国子会社 |
| 5月7日(5月11日) | Colonial Pipeline | (おそらくサーバ) | 米国大手のエネルギー会社 |
| 4月23日(4月27日) | 岡野バブル製造 | サーバ | ファイルサーバ、メールサーバなど |
| 4月25日(4月26日) | 日産証券 | サーバ | ランサムウェア確定ではない |
| 2月23日(4月2日) | ランドブレイン | サーバ | 総務省の委託事業業者 |
| 2月12日(4月8日) | 共英製鋼 | サーバ | VPN脆弱性利用された |
うーむ、多い。これ報道されているものだけなので、局所的な被害しかなかったので世に出ていない被害もこの3倍は間違いなくあるでしょう。(パソコン1台だけ感染とか)
4月の報道数:4件、5月の報道数:2件、6月の報道数:5件と、6月はまだ折り返しもしていないのに、すでに直近2か月の報道数を超えています。
上記表を見て頂くとわかる通り、報道日=被害日ではなく、
①企業が被害を認識→②調査(被害日の確定)→③これあかんやつやと判断→④公表→⑤ニュースとして報道(報道日)
という流れになるので、被害日と報道日にはズレがあります。
この2つに数日レベルしか誤差がない場合、「しっかりとした監視体制」、「経営層のセキュリティに対する理解」、「インシデント対応の迅速さ」などが伺えます。
富士フィルムは、被害から報道まで2日という速さ。
被害が明確でユーザ影響が出ている場合は、早く世に出してあげる必要がありますが、それにしたって影響範囲だったり、ネットワーク閉塞したり、ユーザへの対応したりと、色々やることもあるのに、2日は素直にすごいと思います。
ちなみに4月30日にNISC(内閣サイバーセキュリティセンター)より、重要インフラ事業者に対し、ランサムウェアの注意喚起が出ており、その注意喚起がまさに現実となってしまっている感じです。
5月はゴールデンウイークなどでお休みが多かったので件数少なめですが、6月は右肩上がりですね。しばらくはこのトレンドが続きそうです。
ちなみに休み関係ないだろ!と思う方もいると思いますが、攻撃者も「仕事(※)」で企業のサーバを攻撃しているので、意外と休みの日だったり、昼休みのタイミングに攻撃がこないことが良く観察されます(笑)
攻撃止まったと思ったら、1時間後に再開されるなんてのも良く聞く話です。
※犯罪を仕事というのはどうかと思いましたが、行った代償により金銭を得ているので、仕事と記載させて頂きました。プロフェッショナルと脳内変換頂いても構いません。
残念ながらランサムウェアの特効薬はないので、日々の脆弱性への対応や、社員教育、おかしいな?と思ったらすぐにエスカレできる空気感、インシデント時の社内の協力体制、経営層の理解などなど、普段から備えておくことが大事ですね!
特にセキュリティは直接的な利益につながりにくいので、経営層からは結構理解されにくいイメージがあり、大企業ならいざ知らず、中小企業の場合はノーガードの場合も多いのかなと思います。
被害にあった場合の影響を考えると、普段から備えるべきだと思いますが、そういったリスク分析を行った結果「ノーガードで!」と決定するなら、それはそれで良いと思います。
何も考えずに脳死ノーガード戦法が一番ヤヴァイので、DX化が進む世界においてはこういったセキュリティに関してもしっかりと考えないといけませんね。
こういうセキュリティ系の話って仕事柄結構触れるので好きで、他の会社ではどんな対策してるのかな~とか、わくわくします。
中小企業のセキュリティコンサルとかやってみたいですね。面白そう。
ではでは
