第477号コラム:西川 徹矢 理事(笠原総合法律事務所 弁護士)
題:「ランサムウエアの猛威報道に接して」

 本年5月12日、自宅のテレビでランサムウエアの猛威を伝える報道に接した。危機管理の職場を退官してから5年経って、突発する地震報道以外には殆ど即応的な関心を示さなくなっていたが、今回の報道記事になぜか久し振りに気持ちが動いた。報道の中に、週明けには途方もない被害が生じているかも知れないとの不吉な予想記事があったので、身辺のパソコンは大丈夫かなと感じたからかも知れないし、あるいは、昨年秋、このメルマガで当時我が国でも急増傾向にあったランサムウエア被害の防止対策をしっかりとるべきだと提唱していたからなのかも知れない。

 いずれにせよ、取り敢えずは、自宅のPC等は大丈夫か?大丈夫であれば今のうちにできる対策をやっておこうと思い立ち、先ずは、日頃使っているPCやタブレット等4台について、それぞれのリカバリディスクの所在を確認したうえで、電源を入れて動作確認をした。幸いなことにいずれもランサムウエアに犯されていなかった。次に、通信ソフト等のゴミ箱フォルダや迷惑メール・フォルダーをすべて空にし、これまで1、2週間に1回の頻度でとっているデータのバックアップを改めて取り直した。序でに念のため予備のパソコンでバップアップ後のデータ・フォルダーを点検・操作して、不審点はないかをチェックした。その際、差出人には申し訳なかったが初見の方のメールを含め見慣れないメールやファイルは内容を見ずに一個所に移動し通常のデータ処理の範囲からは取り除いた。一連の操作を終えると、ほぼ休日の半分が潰れたが、自己満足ながら少々の安堵感が味わえた。

 しかし、今回のランサムウエアWannaCryの暴発は、昨秋のメルマガで、小生も前述の通り注意を促したが、その後もランサムウエア攻撃の魔手はやむことはなく、遂に5月12日金曜日を迎えたのである。その暴走振りは、世界でWannaCryのマルウエアがわずか2日間という短時日で150カ国、30万台以上のコンピュータに感染し、コンピュータのデータ等にロックを掛け、被害者に身代金(ランサム)を要求したのであり、その規模は過去世界最大級のものであった。

 我が国でも、マスコミが、今回の攻撃は「日本時間で土曜日(13日)未明に起きたことであり、企業でメールが開封されず感染が発覚していないだけとの見方もある」と煽るような報道をしたため、15日月曜日が被害発覚の焦点になると大いに危機感が高まった。また、我が国の関連事案として、日産自動車の英国工場で12日夕刻に生産システムに被害が出たとも報ぜられたため、一層緊張が走った。

 ランサムウエア攻撃については、各種のレポート等で伝えられるように世界的には10年以上前から「厄介な問題」とされていたが、我が国でもここ2年程前から主に法人を被害対象とし、時には1年間で20倍以上に急増するなど、今や「気の抜けない重大問題」になってきた。

 もちろん、この間、護る側の対策として、約1年前からユーロポール等が中心になって世界中の警察機関やセキュリティ企業等が協力してランサムウエア撲滅のために「No More Ransom」プロジェクトを立ち上げ、情報交換や事案検挙、復号化鍵の発見・提供等に力を入れ、今後かなりの成果が期待できる動きなどがあった。我が国でも更に官民挙げて多種多様な対策が取られ、それなりに必要な手立ては打たれてきた。しかし、それでも今回の騒ぎでは、5月13日正午現在の集計で、大手企業を含め約600カ所、2000端末以上の感染報告があった。

 ただ残念なことに、これらの攻撃については、万全の対策を徹底するにはコスト等の理由で現実的にかなり困難であるうえ、WannaCryが自己増殖型でもあるため、感染したシステムに適切な除去対処が施されない場合、引き続き、すべてのワームが拡散を続け、組織内で被害を増大させることになるので一層厄介さを増した。現に、今回の大流行後、約1ヶ月以上経った6月18日日曜日に、我が国の某大手自動車メーカの関東圏内工場でWannaCryの設備感染が見られた。また、同じ頃オーストラリアの州政府が設置した取締用スピ-ドカメラ50台以上に感染したとの被害が報告された。

 ところでこの分野で、最近、気になったことがある。それは、英国政府のNational Cyber Security Centreが、100カ国以上で膨大な数の民間企業や公的機関をWannaCryが攻撃したのを契機に、このランサムウエア攻撃を「世界的に組織化されたランサムウエア攻撃」と呼ぶようになったことである。これはランサムウエア攻撃が更に一歩大きな変身を遂げ、その脅威が最早企業だけに止まらず、「国家に対する脅威」になったとして脅威レベルの評価があがったことを示唆するのではないかと思う。また、同じように、米国でも、米軍のサイバー軍司令官と米国家情報長官が、ランサムウエアのリスクについて米議会上院委員会で証言しているが、特に、同サイバー軍司令官は、この種の問題は、一般的に警察や米連邦捜査局(FBI)が対応する問題だと見なされているが、今後は軍事上の懸念事項になる可能性があると述べたと報じられている。

 過日、国立情報学研究所の高倉 弘喜 教授が日経の経済教室欄(日経 2017/7/13)で、我が国におけるサイバー攻撃に対する対策と対応について根幹的なことを、重要インフラを題材にしながらではあるが、大変分かりやすく、示唆に富む解説をされていた。その中で、同教授は、端的に、サイバー攻撃対策において重要なのは攻撃の先にある「攻撃者の本当の狙いや、おとりや陽動かどうかなど、全体を俯瞰した危機管理の一部であるという認識」であるとされ、更に「我が国では、諸外国におけるインフラへのサイバー攻撃対策の議論と比べたとき、サイバー攻撃対策が危機管理と切り離されている傾向」にあると指摘された上で、危機管理の視点から保護されるべきものは、サイバー攻撃を引き金とした物理的被害の発生を阻止することこそが最優先されるべき事項であって、制御システムそのものを護ることではないと喝破されている。

 長年サイバーセキュリティの専門家や広くその周辺の方々と接し、対応策として体制や組織の在り方、運用等を議論することがあったが、なぜか微妙に意見の分かれることが多い問題であり、他にも、同種の感想として、何人もの専門家から、「海外の文献を読んだり、外国人担当者と議論をしていると、日本における議論と外国における議論とがどうしても噛み合わない」と指摘されることがある。

 ただ、現場的には、2010年3月19日内閣官房内で通達が発出され、大規模サイバー攻撃事態への初動対処については、事態対処本室が危機管理の一環として対処することになり、そのために必要な情報収集や訓練等も実施できるようになって、2010年9月、尖閣諸島国有化問題をめぐる中国最大規模のハッカー集団「中国紅客連盟」からの大規模DDoS攻撃で初めて発動され、さしたる混乱もなくこの攻撃を無事押さえ込んだことがある。現在もこの枠組みは生きていると聞いている。

 しかし、その後6年経ち、その間に前述の英国やアメリカにおける視点を高くした対応が必要であるとの動き等から見ると、我が国のこの枠組みも、これまでの大規模事案のインシデント対応までは何とか対処できたであろうが、先般の米国大統領選をめぐるスーパー国家の大幹部が絡む壮大なサイバー攻撃や、国家的威信のかかるオリ・パラをめぐるサイバー攻撃等に立ち向かうには、これまでのインシデント・レスポンス・ベースの発想を一歩超えて、US-CERTのように常にこれらの攻撃に対峙できる組織的レディネス状況(※)が求められ、それも更に危機回避的な要素まで含んだ措置を取り得る待機体制でなければ、これからは実効性のある対処は難しいであろうし、そのためには平生からの広汎かつ縦深的な情報収集能力の強化や危機回避対応措置等への備えが不可欠であろう。いずれにせよ、これらの業務は、決して兼務職員が片手間で実施できるものではなく、究極のミッションを実現するための権限を持った各部局横断的な核になる組織が情報全般に対してインテリジェンス的な情報評価から事案対処までを一元的に取り仕切る体制とそのチーム運用力が今こそ強く求められていると思う。我が国おいても、一日も早いその実現を期待する。

※因みに、US-CERTの「R」は、他のCERTとは異なり、Readinessの頭文字から来ており、同ホームページの中の組織変遷の経緯から見て、その中に視点を高く、視野を広くして活動しようとしているかが窺える。

【著作権は、西川氏に属します】