Cyber NINJA、只今参上

デジタル社会の世相をNINJAの視点で紐解きます。

「二重の脅迫」という手口

政界・官界・産業界 政策担当者への伝言

 「COVID-19」騒ぎにつけこんでか、外に出歩けないからか、サイバー攻撃が昨年後半から激しくなってきているという。経産省は年末に「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」を発表している。特徴的なことが3点あり、

 

・Vurtual Private Network機器の脆弱性につけこむ手口

ランサムウェアによる「二重の脅迫」という手口

・海外拠点の弱点をついて、日本本社に入り込む手口

 

 が目立つという。最初の点はテレワークが増えて、安全に接続しようとVPN機器を使ったのはいいが、それ自身の脆弱性が暴露されていて犯行に使われてしまったというもの。最後の点は、海外拠点へのITガバナンスはどうしても甘くなりがち、その弱点をつかれたということらしい。ただ、2点目の「二重の脅迫」というのは聞いたことのない言葉だったので、専門家に聞いてみた。

 

 ランサムウェアというのは「身代金要求のためのマルウェア」と言う意味で、数年前から方々で使われている。1年半以上前だが、米国フロリダ州のある街で市役所のシステムが非機能状態にされ、身代金を議会で決議して支払ったという事件を紹介している。

 

議会で決めた「身代金支払い」 - Cyber NINJA、只今参上 (hatenablog.com)

 

        f:id:nicky-akira:20210208165203j:plain

 

 当時と何が変わったかと言うと、従来型のランサムウェア攻撃はウイルスをバラまき、侵入したところでデータを暗号化するというもの。暗号解除キーが欲しければカネを払えという手口。今流行っている「二重の脅迫」というのは、標的を定めてまず侵入しデータをコピーしておく。その上でそのデータを暗号化してカネを要求するのだ。もし要求に応じなければ、そのデータを公開するぞと「2つ目の脅迫」を用意しているわけ。

 

 お取引先の機密情報や、お客様の個人情報が対象だったりすると、カネを払わなければ先方に迷惑が掛かり、訴追されるかもしれない。一方カネを払えば犯罪組織への資金提供をしたということでコンプライアンス違反に問われるかもしれない、究極の選択を迫られてしまう。

 

 経産省によれば、カネを払う払わないは実務者の判断できるものでは到底なく、経営者が自らの責任で決めなくてはいけないとのことです。お客様や警察とも事前調整が必須だから、技術課題ではなく経営課題だということでしょう。進化する犯罪手口、企業側も覚悟と対策が必要というわけですね。