826万人の在職者情報を管理する「社労夢」のランサムウェア事件から思うこと

ランサムウェアの感染事案

2023年の6月上旬に、社労士向けのクラウドサービス「社労夢」を提供する、エムケイシステムがランサムウェア攻撃を受けたことを発表したことが記憶に新しい。

www.itmedia.co.jp

www.nikkei.com

エムケイシステムのWebサイトによると、「社労夢」は826万人以上のユーザ情報を保管・管理するクラウドサービスであり、この情報が仮に漏洩したとなれば2023年のセキュリティインシデントとして残念ながら歴史に名を残しかねない大惨事の一つとなるであろう・・・!!

実際に私もStartup(B to B向けSaaS販売)で勤務しながら、本事案について耳にすることがあった。お客様によってはサービスリプレイスを検討しているとのことであった。

セキュリティの専門家 × Startupの事業推進という、やや異色なキャリアを歩んできた私にとっても改めて気が引き締まる事案である。

一方で当のエムケイシステムは漏洩が起きたという事実はないと主張しており、被害の発生を否定している。

www.mks.jp

被害を否定する具体的な説明は未だ行われていないものの、『他の社労夢製品とは切り離した環境で完全に暗号化されており、流用や悪用はできない仕組みとなって』いることがその根拠らしい。

近年のクラウドサービスだと、

・ディスクレベルの暗号化

・データベースレベルの暗号化

これくらいは普通に備わっているんですが、正規のユーザに成りすましてアクセスしたとすると、当然正規のユーザなので暗号されていない状態でもデータは見れるわけで・・・

アプリケーションレイヤでも暗号化されており、保存されているすべてのデータが、仮にDBから引っこ抜かれたとしてもなお暗号化されている、などという仕組みだったのならば幾分か理解できるが・・・

どうも、そこまで気が回っていたのかは、このUIを見ると少し怪しく、感じる。いや、そんなことを言っちゃ悪いのは十分承知だが、それでも。。。

社労夢のUI(https://prtimes.jp/main/html/rd/p/000000007.000045053.html より)

ランサムウェアについて

そもそもランサムウェアという言葉は、英語の「身代金」と、ソフト「ウェア」を掛け合わせてできた言葉である。つまりは、利用者にとって必要なデータを暗号化し(=人質にとる)、これを元に戻すために金銭を要求する(=身代金)、悪意のあるソフトウェアである。

身代金を払うとどうなるのかというと、攻撃者が暗号化を解除するのに必要なカギが送られ、運がよくこれで元に戻せる場合もあれば、このカギが正常に機能せず、お金を払ったが情報は戻ってこないこともある。いずれにしても犯罪者に対する資金提供であり、身代金を支払わないのが最善の手段である。

以外にもその歴史は古く、1990年前後から確認されているようであり、数年に一回大きな事件となって報道され続けてきた。

neut.co.jp

暗号資産の台頭により追跡不能な決済手段が出現したことや、暗号化技術の高まりにより特に近年被害が拡大している。サイバーセキュリティ対策の中でも対策の必要性は年々増しているといえる。

そして、近年のランサムウェアの被害は、「二重脅迫型ランサムウェア攻撃」などとも呼ばれており、データをもとに戻すことに対する金銭だけでなく、盗んだデータの公開に対する金銭要求も発生している。

当のエムケイシステムがランサムウェアによる情報漏洩が確認されていない、という根拠は不明であるものの、匿名性の高いダークウェブで公開されていない、ということを示唆しているのかもしれない。

pizza-man.net

ランサムウェアの一般的な感染経路と対策

ランサムウェアの感染経路は二つに分類できる。

①ユーザの能動的動作による感染

これは、ユーザがメールに添付されているファイルを開いたり、感染しているUSBを拾ってそれをPCに接続したりして感染するという、ユーザのアクションにより感染してしまうケースである。

ユーザのアクションを起点としていることから、「人的安全管理策」といわれる、教育などのユーザへの働けかけが重要な対策となる。

②システムが受動的に感染

これは、ユーザのアクションとは関係ない、あるいはユーザが積極的にアクションをとらないこと(例えば、セキュリティパッチを実行しない・緻密に設計しない、など)によりシステムに弱点(脆弱性)が生まれ、この脆弱性をついた攻撃により感染してしまうパターンである。

特にこのパターンでは、近年よく狙われているのはVPN装置等の脆弱性であり、企業ネットワークにログインするために必要な認証情報を盗み取り、これをもとに企業ネットワークに正規に侵入し、直接感染させる方法が一つとなる。

たとえて言うならば、あなたが席を離籍している間にあなたのバッグから鍵をかすめ取り、これを鋳型に流し込んで鍵の形を盗み取り、あたかも住人のようなふりをしてあなたの家に忍び込む手口に似ている。この場合はピッキングのように強引に鍵を開けるわけではないわけで、通常通り鍵の施錠が行われるため、通常の防犯システムは機能しないことがある。

またもう一つの代表的なパターンとしては、Webブラウザやファイルオープンに利用するためのソフトウェアの脆弱性を利用して、Webから不正なファイルをダウンロードし、感染させる手法である。

これを防ぐための対策は多岐にわたるものの、一般的には利用しているソフトウェアを把握し、ソフトウェアを最新に保つことで脆弱性をふさぐことは重要である。

社労夢はどうだったのだろうか

「社労夢」をはじめとするエムケイシステムの対象のサービスはクラウドサービスである。

以下の記事を見てみると、詳細な構成は明らかにされていないが、IDCデータセンターを利用していたようだ。

www.sakura-cci.or.jp

クラウドセキュリティの担保は、ISO27017などの規格の意図する通り、クラウドを提供する側とクラウドを利用する側の双方の働きかけにより担保される。AWSやAzure,Google cloudなどのサービスではマネージドサービスと呼ばれる開発基盤を提供しているが、これらのサービスはハードウェアやOSレイヤをクラウドサービスベンダが責任をもって管理してくれることにより、利用者の責任範囲が狭くなるという特徴がある。

仮にエムケイシステムがプライベートクラウドを利用していた場合、どこまでがエムケイシステムの責任範囲としてセキュリティ対策を施さなければならない範囲であったかは不明であるものの、当該責任を果たせていたのかということが今後の説明の焦点になることは間違いないだろう。利用形態にもよるものの、ハードウェアの調達からOS、ミドルウェア、アプリケーションのすべての管理を担う必要性があり、これらの管理対策が正しく実施されていたのかがカギとなる。

教訓は何か

セキュリティのアドバイザリーや、セキュリティの監査をこれまで実施してきた経験からすると、システムの運用保守を抜かりなく実施できていたケースはたとえ一流と呼ばれる保守ベンダであってもまれであり、必ず運用上の課題が生まれる。特に脆弱性のマネジメントは負荷の高い作業であり、未だ古い危険な脆弱性が放置されているということも珍しくない。

セキュリティを推進する立場としては、このような事件が報道される度に、やはりどこまでいっても他人事ではないと襟を正される気持ちになる。セキュリティ対策と利便性が一般的にはトレードオフになることから、特に事業のスピードを落とせないstartupではどこまでセキュリティ対策を講じるべきかという線引を行うのが難しい。

極端な話、すべてのオンライン接続と物理媒体の接続を禁止すれば、ランサムウェア感染の可能性はゼロに近づけることができるが、そうもいかない。リモートワーク、営業が外で働く、外部委託社員が委託先の端末を利用するなどの複数の不確定要素と、いつまでに何社受注しなければならないという事業のアクセル、リスク低減の最適なポイントを模索しなければならない。どこまでいっても正解はない世界だ。

このような決断をどのように行うべきかは、また別の機会に触れたいと思う。

なお、本記事を作成するにあたり、以下の本が非常に参考になった。セキュリティの実務担当者はぜひ一度目を通しておくべきマルウェアに関する有益な情報が含まれている。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です