2022.04.10 怖い話⑫「安全保障上脅威がある企業」
センター長、中村です。
活発なサイバー攻撃のニュースが次々に報道されています。特に「ランサムウェア」の被害が日本企業関連や医療機関で広がっています。
2月は、小島プレス工業、ブリヂストン。
3月は、デンソーのドイツ子会社、森永製菓、日本アンテナ。
4月は、パナソニックのカナダ子会社。
公表されていない被害もあるでしょうから、うちには関係のない話とは言えない状況になっていると感じます。
警視庁が発表した2021年に報告があったランサムウェア被害は146件。
特に、7月~12月は85件で昨年同期の4倍だそうです(中小企業の6割はサイバートラブルを公表していないという統計があります)。
ランサムウェアの感染ルートは「電子メール+添付ファイル」で侵入するという典型的なパターンだけでなく、VPN(仮想プライベートネットワーク)機器の脆弱性をついて侵入する手口が増えてきているそうです。
そして、報道されているようにロシアでランサムウェアを開発する「Conti」という犯罪グループが、アメリカからのサイバー攻撃に対する報復を宣言しています。
そこで、ロシアの情報セキュリティ企業と言えば「カルペルスキー」。
(特定の企業や商品名を出すのはやや気が引けますが、各新聞で報道されています)
個人向けのウイルス対策ソフトや企業向けの総合セキュリティソフトなどを扱う、ロシアに本社を置く企業です
アメリカ政府はすでに2017年から政府機関での同社の製品使用を禁止。
ドイツは3月15日に利用に関する警告を出しています。
そして、アメリカ連邦通信委員会が3月25日に「安全保障上脅威がある企業」として指定しています。
これを受けてか、日本ではカルペルスキーとパートナー契約を結んでいたNTTが、その使用を中止することを検討中という記事が4月8日に報じられました。
ウイルス、パスワード、VPN、その他諸々のセキュリティを丸裸にされる可能性だってあるわけで、ランサムウェア犯罪グループと組んだら、カルペルスキー製品を使用している企業や団体はやられ放題ということになりかねないかもしれません。
一時期、
某国で製造されているパソコンに「謎の部品」が組み込まれている。
情報を搾取する仕組みが通信機器に組み込まれている。
SNSを利用して個人情報を収集している。
として、その利用を懸念する声が上がりました。
アメリカは、某国の5社を「安全保障上の脅威がある企業」に指定しています。
怖いと思いませんか、「安全保障上の脅威がある企業」。
たとえば、第3次世界大戦のようになったら、敵地のコンピュータを無力化するためにOSメーカーや通信機器メーカーが製造段階から仕込んでいる「何か」を発動させるということがあり得るかもしれません。
今更、ハードもソフトも完全国産パソコンを製造することは不可能なわけで。
国防上重要なシステムは、既存のネットワーク・インターネットとは分離され、独立した通信インフラで、いざというときは運用される。
そんな準備ができているのだと思います。
軍事的な目的をから生まれたインターネットですが、皮肉な話です。
さて我々はどうすべきか、
できる最大限の範囲で情報セキュリティ対策を施すしかありません。
私が一番心配な情報セキュリティ上の脅威は「人的要因」。
守るべき情報資産の定義はできているか、修正プログラムは適用されているか、ID・パスワードの管理どうすべきか、電子メールの取り扱い、USBメモリの利用、不正なサイトへのアクセス、外部ネットワークへの接続、その他諸々。
難しいことではありませんが、「情報セキュリティポリシー」としての明文化とその周知、教育が求められます。
準備はできていますか?