先日、大手ゲーム会社の「カプコン」がサイバー攻撃に遭い、1テラバイトにのぼる大量のデータが盗み出されたというニュースがありました。そこで、サイバー攻撃について、11月19日、TBSラジオ「森本毅郎・スタンバイ!」(月~金、6:30~8:30)の「現場にアタック」で、レポーター田中ひとみが取材報告しました。
カプコンは現在、犯人側が要求する「身代金11億円」の支払いを拒否しており、少しずつデータが公開されている状況です。改めて、何が起きているのか?専門家に聞きました。自身も、企業の依頼を受けて脆弱性を調査するハッカーとして活動する、一般社団法人日本ハッカー協会の杉浦隆幸さんのお話。
★データが人質。身代金支払い拒否は妥当?
- 一般社団法人日本ハッカー協会 杉浦隆幸さん
- 「データを人質に取るタイプの「ランサムウェア」というウィルスに感染し、データを暗号化され、身代金を払わなかったために、漏えいした情報が公開されている状態。多分ロシア・東欧形。今回カプコンの犯人は、ロシア語が入ったウィンドウズでは動かないようにしていた=自分の国で動かしても感染しない=どう考えてもロシア系。大多数は、事業が止まるので払ってることが多い。ただ払うことが違法な国もあるので、払わないで公開されている企業もたくさんある。これに関しては、正しい・正しくないは無い。犯人を逮捕できれば一番いいが、なかなか国際協力は、ロシアや東欧諸国には及ばない。出来ないのであれば犯人と上手く交渉して、ちょっとだけ先に払って特定できるか試して、減額させるなりしている会社もある。」
カプコンに犯行声明を出したのは、「ラグナ・ロッカー」という犯罪グループ。他にもこうしたグループは複数あるようで、昨年は、イギリスの大手両替店「トラベレックス」のウェブサイトが被害に遭い、復旧のために2億円支払ったという報道も出ています。
また、今回杉浦さんに、そうした情報公開されているという闇サイト=「ダークウェブ」を覗かせてもらいました。一見、データが並ぶ普通のサイトに見えますが、よく見ると、異様な雰囲気でした。特殊なソフトがなければ開けないサイトらしいのですが、色んなファイルが並んでいて、無料で見られるものもあれば、有料で売られている個人情報などもあるようです。一度公開されると、半永久的に残ってしまうので、身代金を支払うべきか否か難しい判断と言えそう。
★ホワイトハッカーで「攻めの攻撃」
そんな中、杉浦さんのような善意のハッカー、いわゆる「ホワイトハッカー」を活用して、「攻めの対策」をとる動きも出てきています。情報セキュリティの診断・コンサルティングを行う、株式会社スプラウト、代表取締役、高野聖玄さんのお話。
- 株式会社スプラウト・代表取締役 高野聖玄さん
- 「企業側が自社のウェブサイトやアプリに対して、「バグがあった場合は報告を。難しいバグだと30万円、簡単なバグだと5千円払います」と募集をかける。それに対し、登録しているホワイトハッカーが実際にウェブサイトを調べて、穴があった場合は報告し、報償金をもらう。募集する人(企業)と、見つける人(ホワイトハッカー)を、マッチング。
カプコンの件は身代金が11億円と言われているが、会社に対するインパクト、その後の対策、業務が止まってしまうなど、色んな影響を考えるとすごい金額がかかるので、サービスの規模によっては、遥かに安く済む金額。」
株式会社スプラウトの「バグ報償金プラットフォーム」
こちらの会社では、企業のウェブサービスの穴(バグ)を、ホワイトハッカーに見つけてもらう、「バグ報奨金プラットフォーム」というサービスを開設。報奨金は、千円〜50万円まで様々。サーバを乗っ取れたり、顧客情報を抜き出せるといった影響が大きいものは額も大きくなり、これまでに総額200万円ほど支払った企業もあるようです。
一方、このサービスでは、ホワイトハッカーの登録者数は3000人と多いものの、登録企業は20社弱と少ない。こうしたマッチングサービスは、国内ではここだけだそうなので、積極的なセキュリティ対策に踏み切れない企業も、まだまだ多いようです。
★リモートワークでバグ発生
そしてお話を聞いているとコロナ禍で、企業に新たな脆弱性が生まれているようです。
- 株式会社スプラウト・代表取締役 高野聖玄さん
- 「「リモートワーク」も一因だと思います。世界的にサイバー攻撃がこのタイミングで増えている。今まで社内で業務を行っていた端末を外から繋げるのは、ある種、制約を外す状態。攻撃者にとってはチャンス。サイバーセキュリティは、基本的に軍事産業。アメリカはペンタゴンの出身者、イスラエル、中国、韓国、台湾も結び付きが強い。でも日本では、あまり防衛省や自衛隊とサイバーセキュリティの業界の結びつきがなく、そこの人材が元々いなかった。サイバー攻撃者は犯罪者として出来ることを何でもやってくる。個人の限界、企業の限界があるで、大きな枠組みとしてセキュリティを高度化していかないと、被害者が悪いみたいな見え方は良くないなと思う。」
「100%侵入されない」というのは、もはや現実的ではない。少し前も、東京オリンピックの関係団体に対して、ロシアがサイバー攻撃を仕掛けていたと報じられましたが、セキュリティソフトを最新の状態に保っておく、怪しいメールは開かない、など、企業や個人が出来ることは限られていると仰っていました。サイバーセキュリティは国防に関わる問題。国を挙げて対策が必要。
田中ひとみが「現場にアタック」でリポートしました!