インシデント発生から4週目に入り、全社調査が行われた結果、各部門でさまざまな不審な事案が起きていることが明らかになった。
これらの事案はいずれも防御できていたため、意思決定層に対する報告は上がっていなかったという。
ここに来て、ようやく攻撃の全容が明らかになり、αを狙った標的型攻撃が明らかになった。自社内のさまざまな部門だけでなく、取引先やよく使うWebサイトなども巻き込みさまざまな手段を使い、次々と攻めてくる状況が見えてきた。
真鍋氏は「脅威には、愉快犯など広い対象を持つ脅威と、標的型攻撃など特定の対象に向かう脅威の2種類がある。どちらもインシデントに気付くのは、社内の検知システムによるものであるケースが多いが、取るべき対応は両方のケースで大きく変わる。広い対象を持つ脅威は守りを固めて排除すればそれで大丈夫だが、特定対象を狙う場合には観察して、全社で積極的な対応を取っていく必要がある」と指摘する。
今回の事案では、再侵入により全社調査に踏み切り、標的型攻撃であることを確認できた。真鍋氏は「標的型攻撃に終わりはなく、継続的に観察を続けていくことが対策につながる」と話している。
標的型攻撃の際に想定される被害としては、「情報漏えい」などが一般的だが、踏み台とされて、より大きな組織の攻撃材料になるケースなども多く存在する。それが、重要インフラの乗っ取りなどにつながるケースもあり、自社PCのマルウェア感染が大惨事の一端となる可能性もある。
真鍋氏は「今回の仮想事案では、最終目標が工場だった可能性もある。製造部門のPCが乗っ取られ、工場との間でUSBメモリでの情報交換が行われていたとすれば、工場が大きな被害を受けたかもしれない。またサプライチェーン上つながりのある企業への攻撃に使われるかもしれない。工場の中にそうした攻撃に対する耐性が用意されているかどうかは大きなポイントだ」と語る。
またセキュリティ被害としてそれほど意識されるケースも少ないが、サーバや端末、ログ類の調査費用や、これらの調査に伴う通常業務の影響など、インシデント発生時に必要な費用は1000万〜数千万円に及ぶとされている。
「標的型攻撃の影響は非常に大きく、事後の対応で被害を抑えるのが難しいことは明らかだ」と真鍋氏は話す。そして事前対策のポイントとして、「情報集約や情報連携の取り組み」、トレーニングなど「攻撃との共存を意識した環境づくり」、何を守るべきかを把握する「情報資産の把握と保護」の3つを挙げている。
工場やプラントなどの制御システム機器へのサイバー攻撃から工場を守るためには何が必要なのでしょうか。「制御システムセキュリティ」コーナーでは、制御システムセキュリティ関連の最新情報をお伝えしています。併せてご覧ください。
Copyright © ITmedia, Inc. All Rights Reserved.