今、エバンジェリストが振り返る 「WannaCryは、そこまで騒ぐべき事件ではなかった」:セキュリティリサーチャーからの提案(前編)(3/4 ページ)
セキュリティのセミナーというと、最新技術を使った防御手法を解説することが多いが、マカフィー主催の「MPOWER:Tokyo」で、ソフトバンク・テクノロジーの辻氏が講演した内容は、自らの目で見てきた事実を軸にした“エモーショナル”なものだった。その講演と辻氏の「思い」を前後編でお届けする。
辻氏はこの1件で得た教訓を、次のように説明する。「時系列を整理すると、2017年1月にハッカーグループのThe Shadow Brokersにより攻撃コードが明らかになります。その後、3月15日に脆弱性を修正するパッチが公開されました。WannaCryは、5月に大々的に話題になりましたが、2カ月以上の猶予の間にパッチが適用されてさえいれば、ここまで大騒ぎにはならなかったのではないかと思うと、とても残念です」(辻氏)
■「WannaCry」が広がった経緯
日付 | 概要 |
---|---|
2017年1月8日 | The Shadow Brokerより攻撃コードの存在発表 |
3月末〜4月末 | 第1次 Wanna Cry攻撃キャンペーン(メール経由) |
3月15日 | MS17-010公開(脆弱性の修正) |
4月14日 | The Shadow Brokerより攻撃コード公開 |
5月12日 | 第2次 Wanna Cry攻撃キャンペーン(MS17-010利用) |
6月中旬 | 第3次 Wanna Cry攻撃キャンペーン(MS17-010利用) |
では、私たちはどのような対策が必要だったのだろうか。辻氏はOS、アプリケーションの「脆弱性の修正」、基本的な「マルウェア対策」、どのように外部とつながる可能性があるかという「ネットワーク構成の把握」が必要だと述べる。その上で「これを言われて、皆さんもしかしたら『今さら?』と思ったりしませんでしたか?」と来場者に問いかけた。
「内部のネットワークに入り込まれなければ大丈夫だとしても、たった1つでも外からの口が開いたままならば、WannaCryのようなワームが入り込んできます。『ネットワーク構成を把握すべし』というのは分かっていても、なかなかできません。新しいこと、新しい技術を学ぶことも重要ですが、その土台も重要なのです」(辻氏)
そして、事後対策として同氏は「バックアップ」と「身代金への対応」という2つのポイントを指摘する。
「まずはバックアップ。ほとんどの企業がしているとは思いますが、“元に戻す”自信はありますか? マニュアルや手順書は、最新のものにアップデートしていますか。そして、戻す時間がどれだけかかるか把握していますか? もし、これらの問いに自信を持って答えられないなら、今すぐバックアップの訓練をしたほうがいいでしょう。
もう1つのポイントは、身代金を払うかどうかです。決して支払えとは言いませんが、絶対に支払うなとも言えません。支払う“可能性”について、あらかじめ考慮し、準備しておくことが重要でしょう。もちろん、支払わなくてもいいように、バックアップなどの基本を守り、情報を把握しておくという“土台”をしっかり整備した上での話です」(辻氏)。
関連記事
- ソフトバンク・テクノロジーの情報漏えい、失意に沈む会議室の空気を変えた「一言」
「インシデントが発生したら、社会貢献と考えて正しく情報公開を行うべき」と提案するソフトバンク・テクノロジーの辻氏。「MPOWER:Tokyo」で行った講演では、ソフトバンク・テクノロジーで実際に起きたインシデントと、その対応を紹介した。 - 「WannaCry」拡散 そのとき情シスはどうすべきだったのか
そろそろ一段落した感もある「WannaCry」騒動ですが、セキュリティ対策は「防げたから終わり」ではありません。この事件から学ぶべきことは何か、“次”に備えて何ができるかを考えてみます。 - ランサムウェア「WannaCry」の被害が止まらない理由
世界で猛威を振るい、次々と被害が報告されているランサムウェア、「WannaCry」。なぜ、被害が拡大し続けているのでしょうか。 - メールの添付ファイルに注意 ランサムウェア「Wanna Cryptor」にIPAも注意喚起
5月12日夜から世界で感染が拡大しているランサムウェア「Wanna Cryptor」について、IPA(情報処理推進機構)が緊急会見を開き、注意喚起した。週明けのメール開封時には特に注意が必要だという。 - ベネッセ情報漏えい事件から学ぶ、セキュリティ対策の“基本”とは?
2014年も企業の情報セキュリティを脅かす事件は数多く発生している。ソフトバンク・テクノロジーの年次イベントで、セキュリティ専門家の辻伸弘氏がベネッセの情報漏えい事件を例に取り、情報漏えい対策や標的型攻撃対策の“基本”を説明した。
Copyright © ITmedia, Inc. All Rights Reserved.