11月中旬、トヨタ自動車の金融子会社「トヨタファイナンシャルサービス」がランサムウェアグループ「Medusa」の攻撃を受け、欧州とアフリカの一部システムに不正アクセスが検出されたと報じられた。日本の企業や病院などがランサムウェアの標的になるケースは増加しており、いかにして被害を回避するのかは大きな課題になっている。ランサムウェアの攻撃を受けるとどんな被害があるのか、有効な対策はあるのか、専門家に見解を聴いた。
トヨタファイナンシャルサービスは2000年にトヨタ自動車の子会社として設立され、40以上の国と地域でトヨタ販売店向けの金融サービスを展開している国際的企業。海外のセキュリティ系サイト「Bleeping Computer」によると、米国時間11月16日にランサムウェアグループ「Medusa」がダークウェブ上で公開しているサイバー攻撃の被害者リストにトヨタファイナンシャルサービスが追加され、被害を受けている可能性が高いことが判明した。Medusaは、同社から盗んだデータを人質に800万ドル(約11.7億円)の身代金を要求している。
ランサムウェアは「身代金要求型ウイルス」とも呼ばれ、サイバー攻撃によってデータを盗み出したり、暗号化して使えなくしたりし、その復旧に身代金を要求する。被害は世界的に拡大しており、日本でも2022年2月にトヨタ自動車の取引先メーカーがランサムウェア攻撃を受け、トヨタは被害範囲特定のためにサーバを停止するなどした影響で国内の全工場の稼働を1日停止した。同年10月にランサムウェアで攻撃された大阪急性期・総合医療センターでは、新規外来受け入れへの影響が約2カ月続いた。警察庁の発表によると、2022年中に報告のあったランサムウェアによる被害件数は230件で、前年比57.5%と急増傾向にあるという。
トヨタファイナンシャルサービスは今回の被害について、欧州・アフリカの拠点で外部からの不正アクセスを検知したと認めた上で、「サイバー攻撃かデータが盗まれたかも含めて調査中」とした。実際に被害を受けたかどうかを同社に取材したところ、担当者は「そうした取材は受け付けていない」との回答だった。しかし、Medusaはデータを盗んだ証拠として、ダークウェブ上で同社の財務書類、契約書、ユーザーIDとパスワード、身分証明書のスキャン画像などのサンプルを公開している。
ランサムウェアとは
そもそもランサムウェアとはどのようなものなのか、ITジャーナリストの本田雅一はこのように解説する。
「ランサムウェアはPCサーバやNAS(ネットワークに接続するタイプのハードディスク)を乗っ取り、丸ごとその中のデータを暗号化するマルウェア(悪意あるソフトウェア)を動かすものです。金銭と引き換えに復号する鍵を渡すよう、フォルダの中に犯行声明や送金方法が書かれたテキストファイルが置かれていることがほとんど。金額は数十万円程度であることが多く、支払ってしまう企業も多いでしょう。企業や公共機関だけでなく、簡単に使えるNASの普及により、個人でも感染者が絶えません。データファイルの盗難はそれらのランサムウェアとは異なりますが、秘匿すべきデータを公開するぞと脅している場合もランサムウェアという表現が使われる場合があります」(本田氏)
トヨタファイナンシャルサービスは実際に被害を受けた可能性が高いのだろうか。もし被害を受けたのなら、どのような影響が危惧されるのか。
「ダークウェブ上で公開されているサンプルデータが盗まれたものである可能性が高いとトヨタファイナンシャルサービス自身認めていますから、その確率は高いでしょう。企業側が要求に応じない場合、ランサムウェアグループは通常のネット空間で小出しにデータを漏洩させるなどして、脅しを続ける可能性があります。実際に個人データを別の犯罪に利用すると足がつく可能性も高いため、直ちに何らかの危険はないかもしれません。しかし、盗んだデータを他の犯罪組織などに売り渡す可能性も考えられます」(同)
こまめにパッチを適用するなどアップデートが重要
ランサムウェア対策は企業にとって大きな課題となるが、有効な対策はあるのだろうか。
「今回の被害はCitrix Gateway(リモートアクセス系のサービス)のサーバのセキュリティホールを悪用したものですが、この脆弱性は1年以上前に発見されていました。既知の脆弱性はネットをくまなく自動的にスキャンすることで発見できることも多い。ターゲットにする、しないではなく、既知の脆弱性への対策を怠っているサーバやNASを狙っているだけのことが多い。もちろん、北朝鮮が攻撃したとも噂された2014年のソニー・ピクチャーズエンタテインメント(SPE)への大規模サイバー攻撃など、特定の企業を狙う場合もあります。SPEの例では全システムがダウンし、映画作品の機密情報や財務書類、俳優のプライベート情報などが流出して大騒ぎになりました。あの時も発見からかなり時間が経過していた古いセキュリティホールが使われました。
対策は地味に感じるでしょうが、セキュリティ情報にアンテナを張り、こまめにパッチを適用するなどアップデートしておくことが肝心です。鍵を閉め、錠前に問題がないかを確認し、簡単に侵入されないようにすることが最も重要です。それを怠らなければ、犯罪組織は他にもっと侵入しやすいサーバに狙いを変えるでしょう。データを暗号化して使えなくする手口についても、バックアップをこまめに取っていれば最悪の事態は防げます。ふだんからのデータ運用が正しく行われていれば、完全にデータが失われるといったリスクは避けることができます」(同)