｢身代金｣｢初動対応｣､"KADOKAWA事件"の教訓 凄腕ホワイトハッカーが語る日本企業への警告

また、よくあるのが、怪しいファイルが来たときに社員が勝手に消してしまうこと。消してしまうと専門家が後から調査できなくなるので、怪しかったら消さずにシステム管理者に連絡する。なりすましのメールが来て、それを開いてしまったときにどういう対応をするか、などといった日頃の訓練は役に立つだろう。

――KADOKAWAの初動対応をどう評価していますか。

日本ハッカー協会 代表理事 杉浦隆幸氏（以下、杉浦） 侵入されていることに気づきながら、追い出しきれなかった点ではだめだった。2カ月近く事業がストップしていることも考えると、重症度は高いと言える。

KADOKAWAは自社でシステム基盤を作っている。技術力はあるものの、セキュリティとシステムは違う。とくにバックアップ体制を作るのは専門家でないと難しい。セキュリティにはあまり力を入れていなかったのだろう。

システムを外注していれば、ある程度バックアップ体制が作られることが多い。バックアップ体制が取られていれば復旧はもう少し早い。昨年、ラスベガスでカジノホテルを運営するMGMリゾーツが大規模なランサムウェア攻撃を受けたが、バックアップを取っていたので復旧は早かった。

今回攻撃を受けたKADOKAWAの仮想化基盤には、ヴイエムウェアの製品が使われていたとされる。ヴイエムウェアは昨年のブロードコムによる買収後、無料だった製品が有料化されたり、受発注業務が滞ったりしており、さらに脆弱性も発見されていた。この脆弱性も放置されていたのではないか。

ハッカーは反社やテロリストではないので、身代金を支払うこと自体は違法行為ではない。グローバルでは払われることが一般的だ。ただ、払ったことは公言されない。いくら払ったと言うと、無駄に（サイバー犯罪の）業界を刺激してしまうからだ。

国内では専門家が足りていない

――日本企業のサイバーセキュリティ対策に課題はありますか。

杉浦 堅牢なシステムを作っても、それ自体がお金にはならず、事件が起こらない限りは評価されない。セキュリティ対策をすることで例えばテレワークができるようになるなど、利便性を向上させることができる。このような形でセキュリティ対策はきちんと価値を生んでいるはずだが、間接的なのでわかりにくい。

どのようなセキュリティ体制を取るかについては個社の判断だが、上場企業でも非IT系企業を中心に、そういった判断をできる人がいないケースは珍しくない。最初はバックアップをきちんとやっていても、年々おざなりになって（サイバー攻撃後に）復旧できないことも多い。