第518号コラム:「WannaCry騒動から1年経って」
第518号コラム:西川 徹矢 理事(笠原総合法律事務所 弁護士)
題:「WannaCry騒動から1年経って」
今年も、例年通り、3月末に各方面から2017年のサイバー犯罪等の概要と2018年の同予想が公表された。内容的には、予想通り、昨年5月の「WannaCry騒動」で盛り上がったランサムウエアの脅威がメインになっており、2018年もこの基調が続き、その傾向は容易には変わらないとするものが多く、内容としては至極妥当なものであった。ただ、個人的には、年が明けてから、予想した割には世間の耳目を惹くようなランサムウエア関連の犯罪報道に出会っていないとのイメージがあり、やや腑に落ちない点もあった。この「WannaCry騒動」から丁度1年経ったことでもあり、自分なりにこの1年を振り返ってみる。
- ご案内通り、この「騒動」は、昨年5月の第2週、ヨーロッパの報道記事で始まった。「WannaCryというランサムウエアが猛威を振るい世界で20万台以上の端末が感染し、週明けには各地で更なる大感染のおそれがある」との報道が飛び交った。数日後の週明けが勝負日であり、マスコミ発表の舞台立てとして巧く嵌まったためか、瞬く間に世界中に「WannaCry衝撃」が走り、我が国でも週末の金曜日に一報が流れ、マスコミ各社が大々的に報じた。
週明けと同時に何か途轍もない大事態が発生するのではないかとの報道の中で、記事内容は、週明けの始業前に各端末に適切なパッチを当てなければならないとか、データバックアップは十分行われているかなどと、日頃報道記事の中では見慣れない文言が繰り返し報じられた。更に、テレビニュースでは、深刻な表情をしたアナウンサーが、専門用語を交えて初動対応策等を何度も報じたため、多くの人が身近なコンピュータ端末にまで不安を感じ、一層加熱した。
そして、いよいよ週明けを迎えた。多くの国で固唾を飲んで、ニュース報道に注目した。しかし、大規模な国際テロ等のような世間の耳目を引く大事案の発生もなく、予想通りであったか否かは分からないが、拍子抜けする程の被害報道しかなく、表見的には一挙に報道のトーンが下がりその後1週間もすると、関連記事もほとんど見られなくなった。我が国のマスコミも「この種の事件は性格上被害者が殊更に被害を隠し、報告をしない暗数事件も多い」等とコメントをしながらフェイドアウトした。しかし、もう少し実態をフォローすると、事情はかなり異なり、興味を引く点もいくつかあったと思う。 - そこで、まず、1年のほぼ前半に相当する、データの揃った昨年5月以降の約8ヶ月の動きを見てみる。警察庁の行った調査(※1参照)によると、昨年、WannaCryの感染活動の感染特徴を有するポートに対するアクセス数は、5月15日(月)から急激に増えたが、数日後に下がった。その後数日して再び急増に転じ、以前以上の増加を見せ、その後一貫して増加したまま、年末を迎えている。これは、WannaCryの感染が極く初期段階で増加が鈍り、その数日後から「亜種による被害」と見られるものが急増し、その後半年間、脅威が一貫して高まったとコメントされている。
実は、この「数日の沈静化」は、英国人の某青年技術者が大奮闘して、WannaCryのキルスウィッチを発見・作動させ、当初のWannaCry派生物のウイルス感染を抑止するのに成功した結果であった。ただし、今回のWannaCryが亜種を作り易いものであったため、この時も短期間で亜種が出回り、1週間も経ないうちに新たな派生物として盛り返し増勢に転じたという。WannaCryはその後も次々と新たな亜種を産み出し、その亜種のウイルスを使い世界中にバラマキ型攻撃を仕掛け、ネットワークを経由したワーム活動によって感染端末内で増殖したため、各国で猛烈な勢いで被害が出た。
なお、このキルスウィッチの事例は、サイバー攻撃の防御方法として、早い段階での対応準備と間髪を入れない迅速なオペレーション対応を行うことにより被害抑制を実現することができた好事例と言いえよう。 - トレンドマイクロ社は、2017年12月、ランサムウエアWannaCryの検出台数調査(5月~11月)を行った(※2参照)。これによると、全世界では約261,800台の端末からWannaCryが検出され、我が国においても同期間中に約16,100台から検出されていたと言う。ただし、これまで我が国においてもそれなりの被害報告があったが、16,100台というこの数字とは余りにかけ離れたものであった。
ところで、マスコミによるその後のこの種の事象の取り上げ方は、報道のあった5月の「騒動」の反動が影響したためか、あるいはデータの公表が時宜を失したためなのか、積極的なものではなく、一部の専門雑誌を除いて一般マスコミでは余り大きく取りあげられなくなったように思う。ただ、この時期は、偶々、米国大統領選挙をめぐり大規模サイバー攻撃等に絡んだスキャンダルがビッグニュースとして相次いだほか、ビットコインやコインチェック等の仮想通貨をめぐる事案が時の話題として、連日マスコミを賑わせ、話題に事欠かなかったことも影響したのではないかと思われる。
いずれにせよ、このような事情等が重なり、「騒動」後の我が国では、WannaCry等のランサムウェアのように感染力が強く、大きな被害をもたらし得るウイルスであっても、一般マスコミの関心は必ずしも高くなく、国民の関心もそれに連れ、薄くかつ弱くなってしまったようである。
なお、我が国の場合、国民の几帳面な性格から、サイバーセキュリティ意識が比較的高く、個人的にセキュリティソフトを導入したり、ソフトメーカー提供のパッチをこまめに当てるなど、これまでも自主的にケアーする人が多くいるため、専門家の中には、今回もさして大きな被害を出さなかったのは、これが一因ではないかと指摘する人もいる。的確なデータがないので、明言はできないが、私も十分にあり得ることだと考えている。 - 次に、「騒動後1年」の後半である本年上半期におけるランサムウエアの脅威を見る。前述のように例年3月頃に公表される「平成30年のサイバー脅威予測」等では、前年の情勢全般を淡淡と分析・評価し、昨年の基本情勢は「今やインターネットは国民生活等に不可欠な社会基盤として定着し、サイバー空間は日常生活に不可欠な一部となった」と発表した。これを踏まえ、例えば、警察庁では、サイバー空間における探索行為等の国内アクセス件数が増加しており、情報通信技術を用いた政府機関や先端技術企業からの機密情報窃取事案等のサイバー攻撃が多発するなどの状況にあるとして、2020年東京オリンピック・パラリンピック競技大会に向けて、強力な国際連携の下、サイバーテロ等も含めた情報セキュリティ対策等を推進しなければならないとする。そしてそれと併せて国際政治分野についても諜報活動サイバーインテリジェンスの脅威が増大し、国の治安や安全保障に影響を及ぼすおそれがあるとしてサイバー攻撃の脅威を強調する。また、我が国の独立行政機関情報処理推進機構(IPA)は、恒例のサイバー攻撃についての「10大脅威」において、WannaCryは、2016年が第2位(個人向)及び第7位(組織向)(総合第3位)の脅威であるとし、2017年及び2018年も、個人向、組織向ともに第2位にあると評価し、強く世に警鐘を鳴らしている。
また、民間セキュリティ会社では、ランサムウエアの変貌について、2016年は、新しいランサムウエアのファミリーが725%急増し、RaaS(サービスとしてのランサムウエア)が登場したことから、正に「過去最大規模で急拡大」した年であったとし、2017年はWannaCryやPetyaによる衝撃的で大規模なランサムウエア攻撃が実施され、その後も一貫して脅威が増しているとして、「多様化の段階」の年だとする。そして来たるべき2018年は、攻撃対象として、利益を最大化でき支払能力の高い企業や防御対策の不足する新規デバイス等の狙い易いものを標的にし、ランサムウエアやネット恐喝を中核とした「ランサムウエアビジネスとネット恐喝の更なる台頭」の時代に突入すると脅威を強く評価している。 いずれにせよ、官民挙って、主要な組織・機関では2018年はランサムウエアの脅威は著しく、重大な局面につながりかねない事例が出てきてもおかしくない状況にあると見ていたのである。 - ところが、この原稿を書き始めた際に、上記のトレンドマイクロ社が同年5月10日付の統計に基づく2018年第1四半期セキュリティラウンドアップを公表したのを知った。それによると、その実績は当初の予想と著しくかけ離れ、第1四半期ではランサムウエアの攻撃が約1,600万件と激減し、前年四半期平均約15,800万件のほぼ10%に止まったという。とりわけ、メール経由の攻撃については、2017年第4四半期の約37,000万件から本年四半期約1,000万件と97%減も激減していると報告し、ランサムウエア犯罪者が、スパムメール等のバラマキ型の手口を何らかの理由により多用しなくなったとした。
しかし、これは緊急対応措置の成果として攻撃ができなくなったためなのか、あるいは他の理由で一時的に戦術を変え、その気になればいつでも再開できる状態にあるのかが不明なままである。また、同社は、他方でランサムウエアの新ファミリーが本年の第1四半期で64種類も増え、中には新しい機能を備えたより強力なものが出現しているとも指摘し、次なる脅威が迫っていることを指摘している。
したがって、このような対応に手の抜けない疑念がある限り、難しい課題を背負わされた状況が続くと見るべきであり、防御する側として、発生が減少したからと言って、軽々にランサムウエアを過小評価し、対応に手を抜くことは時期尚早で、危険であると考えるべきであろう。
前述のように官民の組織や多くの専門家もこの種ランサムウエアの脅威は今後も簡単に沈静化しないであろうと明言している。我々としては、むしろ、年々質、量ともに悪質化している大きな潮流の中にまだ留まっており、攻撃側が次世代の亜種の展開や戦術変革のために飛翔するエネルギーを蓄積している可能性があると考えるべきである。そして、この脅威に正面から取り組み、早期兆候の把握と迅速な対応体制の確立等とともに、攻撃側のグループないしは個人の割り出しや炙り出し等にあらゆる手段、手法を駆使して、その撲滅のために必要な先手を打っておかなければならないと思う。 - このメルマガは6月中旬の発行予定である。それまでにどれだけアップデートされた統計データが公表されるかは分からないが、現時点おいては、明確に意識して、個人及び社会を如何に護るのかを多くの方々と問題を共有し、二度とランサムウエアの「衝撃的暴発」を許さないとの強い決意を持っていただくことが肝要である。
具体的には、個人レベルから先行の攻防の事例を参照にし、関係する人々の広い参加を得て、情報交換や情報共有を図り、自主的な対策や備えを十二分に行うように努めていただきたい。そして、官公庁や民間組織の参加をも募り、それらの連携強化や情報共有の徹底を図り、色々な角度から、これまでの教訓をいかに活かすのか、より効果的な予防対策ができているのか、万が一、冒頭のような「衝撃」的な猛威が再発しそうな場合には官民が連携・協働して迅速かつ確実に対処し、初期段階で抑止できるのか、そしてそれを実現するために対応戦術をどこまで準備しておくのか、そしてその足らざる部分はいかにして補充するのか等々吟味する必要があろう。関係各位の積極的な参画と、国民への働き掛けに大いに期待するところであります。
【著作権は、西川氏に属します】