2022年3/1 トヨタの取引先のランサムウェアによるサイバー攻撃の影響を受け、トヨタ本体の国内の全工場が操業停止しました。この件と、今ニュースとなっているロシア-ウクライナ情勢との関連はまったくわかりません。

しかしながら、情報セキュリティの世界では今ロシアからのサイバー攻撃に関して非常に多くの情報が飛び交っていて、ロシアへの経済制裁を宣言しEUへの援助を行うとした日本にとっては決して対岸の火事ではありません。またこの機に乗じて、ロシアのせいにしたい他国のサイバー犯罪者が動き出す可能性も大いにあります。

世界的な情報セキュリティの教育機関である米SANS Instituteでは2/25に「ウクライナにおけるロシアからのサーバー攻撃の拡大について知っておくべきこと!」と題して緊急のウェビナーが開催されました。ウェビナー自体は英語だったのですが、今回のものは日本語の通訳がされており、誰にでもわかりやすいものになっていました。

そこからセキュリティの専門家でなくともわかるよう手短に要点をまとめましたので、以下に書いていきたいと思います。(あくまで研究者個人の方の2/25時点での見解です)

ある研究者の意見として、ロシアのサイバー攻撃部隊も忙しいので、真にロシアに敵対する所のみをターゲットとするだろう、とのことでした。ですから、日本の一般企業であれば攻撃対象となる可能性は高くはないかもしれません。ただし、マルウェアなどでもらい事故という可能性あります。2017年に notPetyaというマルウェアがありましたが、そのようなバラマキ型のマルウェアで無差別に被害が発生するケースもあるようです。

ではどうしたらよいか、ということに関しては以下の対策を至急行ってくださいとの事でした。(わかりやすく書くため読み方によっては正確ではないかもしれません)

・ WindowsやOffice、ネットワーク機器のファームウェアなどを最新にアップデートする
・ 必要なログを取る(これは専門的でわかりにくいかと思います)
・ 組織内部から出ていく通信を確認する。良く攻撃に使われる通信ポート(port 22,135,139/445,389,1433,3389,5985/5986)を可能であれば塞ぐ(これも専門的でわかりにくいかと思います)
・ 異常が発生した場合すぐに異常が広がらないよう、封じ込めを行う。(ネットワークからはずす、機器を停止する、組織内での決断を素早く行う)
・ アプリケーションの実行の制限を行う(これも専門的でわかりにくいかと思います)
・ 上記を継続する。

との事です。

 また、ロシアの攻撃者が良く使うとされる、ランサムウェアやワイパー(PCを破壊するマルウェア)対策として、オフラインで重要データをバックアップする事も大切です。

このブログを書いている間にも、一部の電子決済システムが使えないといったツイートも見られます。

 まずは自分達にできる所から対策をしていくことをお勧めします。(自分はまずSSDへオフラインのバックアップを行いました)

投稿タグ
,