This post is also available in: English (英語)
オーストラリアの「ランサムウェア行動計画」
2021年10月13日、オーストラリア政府は「Ransomware Action Plan(「ランサムウェア行動計画」)」を発表しました。これはランサムウェアの増加に対処する取り組みを「準備と防止」、「対応と復旧」、「妨害と抑止」という重要なテーマに沿って示したもので、オーストラリア政府の「2020 Cyber Security Strategy(2020年サイバーセキュリティ戦略)」に沿って、10年間で16億豪ドル以上という記録的なサイバーセキュリティ投資を行うとされています。
増加するランサムウェア
かつてはサイバー犯罪の迷惑行為程度だったランサムウェアは、いまや国家安全保障や経済、公共安全を脅かすリスクへと発展しました。今回の「ランサムウェア行動計画」は、こうしたランサムウェアの増加に対抗する歓迎すべき措置です。
ランサムウェアの深刻さは、世界中で発生している事件からも明らかで、そのなかには最も荒稼ぎをしているサイバー恐喝組織の1つによる攻撃を受けた米国の主要パイプライン停止事件も含まれています。パロアルトネットワークスの脅威インテリジェンスチーム Unit 42によるデータからも、これらの攻撃への対応コストが急激に増加していることがわかっています。2015年から2019年にかけてのランサムウェアの最高要求額は1,500万ドル(およそ17億円)でしたが、2020年にはこれが3,000万ドル(およそ34億円)に倍増し、さらに2021年にこれまでUnit 42のインシデントレスポンスチームが確認したランサムウェアの最高要求額は5,000万(およそ57億円)ドルにもなります。
またランサムウェア攻撃グループは、新型コロナウイルスの感染症拡大状況に乗じて、人命救助に欠かせない医療機関をはじめとする重要セクタを餌食とし、その業務を恥知らずにも妨害するなど、手口をますます悪質化させています。また、学校区、地方自治体、病院、製造業、パイプライン事業者などの重要インフラも攻撃対象となっています。
オーストラリアもこの脅威からは免れられません。2020年-21年の会計年度において、オーストラリアサイバーセキュリティセンター(ACSC)は、ランサムウェアによるサイバー犯罪の報告が15%増加したと報告しています。この増加は、犯罪者がオーストラリア社会でもとくに脆弱で重要な部分から金銭を脅し取ろうとする傾向が強まっていることと関連していると言われています。
防止が第一歩
オーストラリアの「ランサムウェア行動計画」は、ランサムウェアに対抗する多面的アプローチをとっており、組織によるランサムウェア攻撃への対応を支援するだけでなく、これらの攻撃に対する準備・防止の強化にも重きを置いています。
同行動計画にもあるとおり、「ランサムウェア攻撃リスクの管理には準備と防止が最重要課題」なのです。その目的にむけ、オーストラリア政府はオーストラリア企業にアドバイスを提供し、既知の悪質なサイバー脅威がオーストラリアのコンシューマや企業に到達するのを積極的に防ぐ取り組みを支援すると約束しています。
オーストラリア政府には、防止策の一環として、国際的なパートナーや民間企業と協力しあい、ランサムウェア防止のためのフレームワークを開発していただければと思います。というのもこうしたフレームワークの開発は、Ransomware Task Force(ランサムウェアタスクフォース、略称 RTF。2020年12月にワシントンDCで発足し、60以上の組織が参加する国際的官民連合団体。パロアルトネットワークスはその共同議長を務める)が、2021年4月のレポートで米国政府に提言したことだからです。なお、このフレームワーク開発にあたっては、そのフレームワークの採用により、組織のセキュリティ態勢強化に最もすぐれた効果をあげるようなセキュリティ機能やベストプラクティスについて重点的に取り上げておくべきでしょう。このほか、ランサムウェア攻撃をより効果的に防ぐ新興テクノロジの役割についてもフレームワーク内で取り上げるべきでしょう。
同様に、防止策は、組織が自らのどこが脆弱なのかを総括できて初めて効果を発揮するものです。ランサムウェア攻撃を免れる業種や業界は存在しません。当然のことながら、政府は経済全体のレジリエンスを高める方法を模索しており、2021年7月にオーストラリア政府が公開した「Strengthening Australia's Cyber Security Regulations and Incentives Discussion(オーストラリアのサイバーセキュリティ規制と奨励に関する考察の強化)」という文書からもそのことがわかります。法や規制に鑑み、まずは自社のデジタルな攻撃対象領域規模と、どこが最も脆弱であるかを正確に把握する必要があります。見えないものは守れません。そこで、利用可能なあらゆるツールを使って攻撃者目線で可視化する必要があります。ランサムウェア脅威のスピードに対応するには、セキュリティテクノロジが自動化・高度分析を活用してファイル変更時にフラグを立て、ランサムウェアの暗号化プロセスを自動で防止する必要があります。既存テクノロジや新興テクノロジとしては、自動振る舞い分析機能を備えたEDRやXDR(それぞれ「エンドポイント検出・応答」と「拡張エンドポイント検出・応答」を指す)、ファイルレス保護、デセプション技術などがあります。デセプション技術は、使われていないデコイ(おとり)オブジェクトを配置しておくテクノロジで、ランサムウェアの防止にも効果があります。
妨害と抑止のための政府ツール導入
オーストラリアのランサムウェア行動計画にもあるように、同国政府は国家のもつあらゆる手段を駆使して今後もランサムウェアの脅威に対抗し攻撃者の処罰を強化していきます。ランサムウェア行動計画では、オーストラリアの法律を近代化し、法執行機関が確実に捜査、起訴できるようにしていくことや、ランサムウェア犯罪の収益に関連する暗号通貨取引に対応することでさらなる攻撃の金銭的誘因を低減していくことに重点が置かれており、いずれも歓迎すべきことといえるでしょう。
私たちはまた、ランサムウェアやサイバー犯罪への広域対応には国際協力が欠かせないことも指摘しておきたいと思います。サイバー犯罪は国家というこれまでの境界を越え、被害者・加害者が複数の管轄にまたがっていることが多いため、強力なサイバー脅威情報共有や、多国籍法執行機関による国際協力・相互支援でサイバー犯罪に対抗せねばなりません。私たちは、「ランサムウェア行動計画」が、悪意のあるサイバー犯罪者を検知・調査・妨害・訴追する能力を強化するために国際的な当局間共同作戦に重きを置いていることを支持します。
インシデント報告要件の整合性
「ランサムウェア行動計画」では、オーストラリア政府が義務としての報告体制構築の意向を示し、「年間売上高1,000万豪ドル以上の企業にランサムウェア攻撃を受けた際の報告を義務付ける」としています。ランサムウェア攻撃に関連しているおそれのあるインシデントも含め、サイバーインシデントの報告状況が改善されれば、サイバー脅威をめぐる状況を国全体でより明確に把握することができるものと私たちは評価しています。結果として政府も産業も、適切な対応や投資を行えるようになることでしょう。
この「ランサムウェア行動計画」に基づいて確立されたインシデント報告体制では、グローバルなベストプラクティスに沿ったタイムラインを設定することをお勧めします。必要とされるタイムラインは、インシデントの深刻度に応じて設定しつつも、企業のインシデント発生確認から少なくとも72時間の報告猶予期間を設けるべきでしょう。これより短い期間だと報告が不必要に簡潔になってしまいますし、当該組織が適切にサイバーインシデントの理解・対応・復旧という困難な作業に集中しなければならないときに、無用な煩雑さを招いてしまいます。さらに短すぎるタイムラインは、組織が不正確な情報や不十分なコンテキストの情報を報告してしまうおそれにもつながります。このような情報は参考になりませんし、サイバーセキュリティ対応や復旧の努力を損なうことから、有害にすらなりかねません。
また、ランサムウェアのインシデント報告要件は、既に産業界に課せられている他の報告要件と整合させることも重要です。たとえば「Security Legislation Amendment (Critical Infrastructure) Bill 2020」の報告要件や、「Privacy Act 1988」の「Notifiable Data Breaches」の要件などと整合させる必要があります。混乱を避け、効率化を図るには、これらの報告義務を一本化し、産業界が可能な限り同じフォーマットを踏襲して、サイバー関連のインシデントをすべて単一の政府機関に報告できるようにすることが重要となります。
今こそ国家的なクリーンパイプ戦略を
「ランサムウェア行動計画」は、ランサムウェアへの準備と防止の必要性に重きをおいています。オーストラリア政府は、オーストラリアの企業や個人を混乱させることで利益を得ようとする犯罪者にとって、より攻略しづらいターゲットとなるべく施策を打っていくことを表明しました。これらの施策の一環として、オーストラリア政府に対し、サイバー犯罪に伴う経済的損失や広範なサイバー攻撃の影響を食い止める国家的な「クリーンパイプ政策」を採用することを推奨します。「2020 Cyber Security Strategy(2020年サイバーセキュリティ戦略)」では、オーストラリア国民とオーストラリア企業を守るために、企業、とくに通信事業者が、スピードとスケールをもって既知の悪質な脅威を自動的にブロックすることの重要性を指摘しています。国家的なクリーンパイプ政策を採用することで、そこからランサムウェア攻撃につながってしまうような脅威も含め、様々なサイバー脅威からオーストラリアのすべての企業と市民を保護することができます。オーストラリア政府が2021年10月に「Australian Protective Domain Name Service(AUPDNS)」を開始したのはすばらしいことです。これは、オーストラリアの国家的レジリエンスを高める歓迎すべき第一歩です。同時に、オーストラリア経済のあらゆるレベルで脅威を大規模に阻止し、オーストラリア経済をより完全に保護するには、より強固なクリーンパイプ型アプローチのための追加措置が必要と考えられます。
官民連携が鍵
最後に、ランサムウェア行動計画が「この計画を成功裏に実施するには、産業界と政府間の緊密なパートナーシップが必要である」と言及していることを支持します。ランサムウェアの脅威に対抗するには、官民のパートナーシップのオペレーション化が鍵となります。
ランサムウェア攻撃の成功を阻み、攻撃側に手痛いコストを負わせるには、サイバーセキュリティプロバイダ(ランサムウェアアクターのオンラインアクティビティに関する強力な脅威インテリジェンスの保有者)と、クラウドおよび通信プロバイダ(ランサムウェアアクターが攻撃拡散に利用するインフラの保有者)との間の緊密な協力が不可欠です。
オーストラリア政府は、官民パートナーシップをオペレーションへと落とし込むため、ACSC Partnership Program(ACSCパートナーシッププログラム)をどのように構築・拡大していくかを検討するとよいでしょう。たとえば、官民合同のサイバー防衛活動の新たな拠点であるDHSの「Joint Cyber Defense Collaborative(JCDC)」をはじめとするフォーラムは、脅威の共有やランサムウェアアクターの活動の妨害作戦に向け、新たなモデルとなってくれる可能性があります。
パロアルトネットワークスには、オーストラリア政府によるこの「ランサムウェア行動計画」実施を支援する用意ができています。国際的なランサムウェアタスクフォースの共同議長を務めるパロアルトネットワークスはこれまで世界各国政府と政策や運用での対話をサポートするというコミットメントを示してきました。私たちは、産業界がこの「ランサムウェア行動計画」をどのように支援していけるかをさらに学び、オーストラリア政府と協力しあってランサムウェアの脅威の高まりに立ち向かっていければと願っています。