大規模ハッキングの頻発で、思い知らされるセキュリティ対策の重要性
カレンダーには、平和で喜びの多い年になりますようにという願いが込められています。しかし、それどころか、セキュリティ侵害の件数が増え、対象が拡大し、新たな規制がおぼろげに見え始めると、業界には不安や恐怖感が広がります。特に、ランサムウェアは、IBM i のショップも含めて、あらゆる規模の企業にとって厄介な問題であることが明かされつつあるようです。
直近では、中国政府系脅威アクターによる米国の通信バックボーンへの侵入という大規模なハッキングが発生しています。ハッカーは、膨大な数のCDR(通話詳細記録。本来はスパイ活動の防御目的で利用)にアクセスしていただけでなく、テキスト メッセージを読んだり、米国人の通話を盗聴したりもしていたということです。
Salt Typhoon(ソルト タイフーン)として知られるこのハッキングは、米国の通信史上、最大のセキュリティ侵害と呼ばれています。パスワード侵害、経年機器、不適切に開発された統合ポイントといった要因が重なったことで、ハッカーは、AT&T社、Verizon社、T-Mobile社、およびLumen社などの通信会社によって運用されているネットワークに入り込むことができたようです。
Salt Typhoonのハッキングは、2020年以降活発化しているAPT(持続的標的型脅威)であり、サイバー犯罪者は今なおネットワークにアクセスできる可能性があると、『 ウォール・ストリート・ジャーナル』紙は 先月の記事で報じています。フォレンジックの専門家による調査も、Windowsベースでない、経年したルーターやスイッチが妨げとなって難航していると、 『ポリティコ(Politico) 』誌は報じています。
特に懸念されるのは、5G携帯電話基地局から生成されるCDR(通話詳細記録)からハッカーが手に入れたデータの詳細さです。5G基地局は設置密度が非常に高いことから(5Gではより高い周波数が使われるため)、ハッカーは、ある人物のいる地理的位置を数メートルの範囲で特定することが可能です。これは、国家安全保障上の懸念を引き起こすと専門家は述べています。
「これは、断然、我が国史上最も深刻な通信ハッキングです」と、Mark Warner上院議員(民主党、バージニア州選出)は先週、『 ニューヨーク・タイムズ 』紙に 述べています 。「Colonial Pipeline社やSolarWinds社の事件が大したことないものに思えてきます。」
米国の通信会社がレガシー システムの問題に直面すると、ICT(情報通信技術)事業者を取り締まる新たな規制が用意されることになります。初めて2022年末に成立した、EU(欧州連合)のDORA(デジタル オペレーショナル レジリエンス法: Digital Operational Resilience Act)は、2025年1月17日に発効となります。
DORAに準拠するためには、ICT企業は、セキュリティ リスクを低減させるためのフレームワークを実装し、システムの継続的監視を提供し、綿密なインシデント対応計画を用意し、事業継続対策を実装することが求められます。DORAの規制要件は、EU内のICT企業と取引を行う重要サードパーティ サービス プロバイダー(CTPP: Critical Third-Party Service Provider)および金融機関(FE: Financial Entity)に適用されます。
今度も規制の対象からは外れていると思った米国企業も、SACA(米国サイバーセキュリティ強化法: Strengthening American Cybersecurity Act)に対しては意識を向けておく必要があります。2022年3月にバイデン大統領によって署名されたこの法案は、16の特定の「重要インフラ部門」のいずれかの事業を行っている企業に対して、セキュリティ侵害インシデントを72時間以内に米国CISA(サイバーセキュリティ・社会基盤安全保障庁)に報告することを義務付けています。
化学工業、防衛産業、金融サービス、通信、エネルギー、緊急サービス、医療、食糧農業、上下水道、および運輸交通など、 CISAが指定する部門に属するIBM i のショップは、数千社に上りそうです。 3月の記事でお伝えしたように 、イラン革命防衛隊に関連のあるハッカーは、上下水道システムに被害を与えたAPTにもつながりがあったようです。
もうひとつ、見過ごされてしまいかねないSACA要件があります。それは、ランサムウェアの支払いを行った企業は、支払い後24時間以内に報告しなければないということです。SACAの規定のいずれかに違反した場合、刑事訴追を受ける可能性があります。
Google社の子会社であるMandiant社の レポート によると、ランサムウェアのインシデント数は2021年および2022年に減少した後で、2023年にはリバウンドしているということです。同レポートでは、2023年には、ランサムウェアの被害者からサイバー詐欺師に10億ドル以上が支払われたことが明らかにされています。
2024年に入ってから現在までのところ、上昇傾向が続いているようです。ランサムウェア ギャングは、戦術および技術においてより残忍かつ巧妙になっているためです。 Varonis社によって収集されたデータによると、2024年に支払われた身代金の平均額は273万ドルだったということです。2023年と比べて約100万ドル増えています。比較のために2016年のデータを見てみると、支払われた身代金の平均額は1万ドルでした( 2017年の記事で取り上げたIBM Securityのレポートのデータによる)。
ランサムウェア ギャングが、個人を脅迫することをためらわない他のサイバー犯罪者と連携するケースも増えているようです。 6月の『 Wired 』誌の記事によれば、ワシントン州シアトルのがんセンターの患者に、サイバー犯罪者の手下からメールが送られ、病院が身代金を支払わなければ患者情報を流出させると脅迫されたということです。ランサムウェア攻撃に起因する身体的暴力が発生する可能性は、今や現実的な脅威です。
SACAのランサムウェア報告の要件は、被害者が身代金の支払いに応じるか、システムの復元を試みることを選ぶかという算段を変えてしまうこともあります。MGM社は、同社のラスべガスのいくつかのホテルのコンピューター システムが数週間にわたってダウンさせられた 2023年9月のランサムウェア攻撃 で、身代金の支払いには応じませんでしたが、同社は最終的に1億ドルの費用を要することとなりました。同じソーシャル エンジニアリング手法を使用して強力なユーザー プロファイルのパスワードを手に入れた、MGM社と同じランサムウェア ギャングによる攻撃を受けたCaesars社が支払った身代金は1,500万ドルでした。
Varonis社によって収集されたデータによると、ランサムウェアの93%はWindowsマシンをターゲットとしていますが、そのことは、WindowsライクなIFS(統合ファイル システム)を特徴とするIBM i サーバーを頼みにしている企業にとっては、少しも慰めにはなりません。IBM i のショップも、IFSのデータを暗号化できるWindowsベースのランサムウェアによる 攻撃を受け始めています 。そうなると、Db2 for iデータベースでネイティブに稼働しているワークロードも含めて、IBM i 上のありとあらゆるプロセスが台無しにさせられてしまう可能性もあります。
何よりもまずランサムウェアを避けることが、脅威に対処する最善のアプローチであることに間違いありません。 Precisely社のRachel Galvez氏は、先月のブログ記事で、IBM i セキュリティのベスト プラクティスに関する有益なヒントをいくつか紹介しています。
システム ログを保守し、バックアップを実行し、ディザスター リカバリー計画を用意することは初めの一歩として適切なことですが、本当にランサムウェアから身を守ろうと思うなら、IBM i のショップがやるべきことはもっとあると彼女は記しています。IBM i のショップに対して彼女は、ネットワーク セグメンテーションの手法を用いてネットワークの機微な領域へのアクセスを制限すること、多要素認証(MFA)を実装して、クリティカルなシステムへのアクセスを防御強化すること、およびデータベース内のデータを暗号化することを推奨しています。
また、IBM i のショップは、IFSをロック ダウンし、ネットワーク共有を最小限にすることも必要だとGalvez氏は付け加えています。しかし、IFS構成は一般的なIBM i セキュリティ構成とは異なるため、この作業はIBM i 管理者にとって必ずしも容易または単純なことではありません。 IBMのIFSセキュリティの入門書によれば、通常、この作業はQShellインターフェースを通じて手作業で行われます。これはUnixライクと言えます。最後に、Galvez氏は、出口点ソフトウェアを使用して、IBM i へのアクセスを監視および管理することを推奨しています。これにより、ランサムウェア攻撃が成功する可能性を低下させることもできます。
巧妙化した政府系アクターであれ、PCとインターネット接続だけの悪党どもであれ、オンラインの脅威は増えています。IBM i サーバー上で稼働している国の重要システムも多いことから、IBM i サーバーは悪党どものターゲットとなります。解決策は明らかですが、単純でも簡単でもありません。セキュリティ構成を強化する必要があるからです。これまでのところは、IBM iの ショップのセキュリティに対する意識は高まりつつあるようですが、積極的な行動という意味では、まだ意識に追い付いていないようです。
