9月に入って、米国の人気観光地ラスベガスのカジノが、立て続けにサイバー攻撃の被害を受け、大きな騒ぎになっている。
まず9月7日には、ローマ帝国をテーマにした老舗カジノホテル「シーザーズパレス」など数多くのホテルを運営するシーザーズ・エンターテインメントが、ランサムウェア攻撃を受けたことが表面化した。
ランサムウェアとは、組織のシステムに感染してパソコンなどを暗号化して使えなくしてしまい、その上で「元通りにしたければ身代金を払え」と脅すウイルスのことだ。日本では、身代金要求型ウイルスと訳されている。
その4日後の9月11日には、別の大手カジノホテルMGMを運営するMGMリゾートへのランサムウェア攻撃も明らかになった。コロナ禍が落ち着き、カジノファンがラスベガスに戻っている中でのサイバー攻撃に、カジノ運営側が頭を抱えたのは言うまでもない。
どちらの攻撃でも、カジノのスロットマシンが使えなくなったり、ホテルのチェックインができなくなったりと、営業にも大打撃を与えている。MGMではカジノ内のATMマシンも使えなくなった。まだその損失額は分かっていないが、かなりの被害額になっていると見られている。
ランサムウェア攻撃は近年かなり話題になっているが、今現在も世界中で攻撃が止まる気配がない。ただ今回の攻撃の入り口は、あまりにもシンプルで信じられないようなものだった。これは日本でも起きうる攻撃である。
日本でもランサムウェア攻撃は多く、今も、攻撃者たちから狙われている。そこで、あらためて企業や組織の関係者らに気を引き締めてもらうために、今回のカジノで起きた手口を紹介したい。
●ランサムウェア被害企業の7割「身代金支払い」
シーザーズのケースでは、典型的なランサムウェア攻撃同様に、攻撃者がカジノやチェックインなどのシステムを暗号化して使えなくしただけなく、ホテル利用者の個人情報も盗み出していた。その上で、システムを元通りにするための身代金を支払わないと、盗んだ個人情報を暴露するとも脅迫してきた。
米国では「政府などが基本的にランサムウェア攻撃では身代金を払うべきではない」というのが基本スタンスだが、実際には身代金を支払ってしまう企業は多い。そうしなければ、企業が仕事や営業を行えないばかりか、内部の重要情報まで暴露されてしまう可能性があるからだ。
実際、ランサムウェアに感染した企業のうち、およそ72.2%の企業が身代金を支払っているというデータも存在する(2022年の統計)。
●調査・復旧に「1000万円以上」46% 警察庁調べ
これに対し、日本では、ランサムウェアに感染すると、基本的にまず所管の警察に届け出る。日本政府や警察は身代金を支払わないように指導するため、企業はそれに従わざるを得ない状況がある。
企業にしてみれば、身代金を支払わずに、暗号化されてしまったシステムを入れ替えたり、修理をするなどすることで、多大なコストがかかる。警察庁の統計によれば、2022年にランサムウェア被害を受けた企業で、調査と復旧にかかった費用は、1000万円以上が46%で、そのうち13%で5000万円以上がかかっているという。
それならば、身代金を支払ってしまったほうが安上がりで済むと考える企業があるのも仕方がないのかもしれない。
●交渉で要求額を半額にしたケースも
シーザーズのようないくつものホテルとカジノを抱えてビジネスを展開している大企業の場合、ランサムウェア攻撃による調査や復旧もコストが莫大になる。
シーザーズの場合、今回の攻撃者と交渉し、当初の要求額だった3000万ドル(約44億円)を半額まで値引きさせることに成功。結局、1500万ドルほどを支払い、システムを復旧させた。カジノやホテルが何日も営業できなくなれば、その損失はさらに大きくなる上、早期に復旧できれば、その作業コストも減らせるという経営判断だろう。顧客情報を暴露しないとも約束させたという。
私が話を聞いたCIA(米中央情報局)の元サイバーセキュリティ責任者で、現在はさまざまな民間企業でサイバーセキュリティアドバイザーをしているロバート・ビッグマン氏は、米国では数年前から「ランサムウェア攻撃を受けた企業から、身代金を支払うアドバイスや交渉役を求められることが増えた」と述べていた。事実、2018年には身代金を支払った企業が49.4%に上ったとするデータもある。
●攻撃者はロシア系も「政治とは無関係」
今回、シーザーズとMGMをランサムウェア攻撃したのは、同じグループだった。ロシア系の「ALPHV」である(Blackcatとも呼ばれている)。
この時期にロシアからランサムウェア攻撃といわれると、ロシアのウクライナ侵攻にも関係があるのかと思われがちだが、今回のALPHVは、ウクライナ侵攻については「政治とは無関係である」と中立を宣言している。
このALPHAVのダークウェブにある公式Webサイトを覗いてみると、身代金を支払ったシーザーズパレスの記述はなくなっているが、まだMGMを脅迫しているブログのエントリは残っている。つまり、MGMはまだ身代金を支払っていない(9月18日現在)。
●セイコーも攻撃の被害に
このサイトには、驚くことにALPHVのランサムウェア攻撃の被害を受けたばかりの日本企業も記載されている。時計メーカーのセイコーだ。
セイコーの公式Webサイトを見ると、情報漏えいについて発表している。対策本部を設置して、捜査機関とも協力していると記載されており、さすが歴史ある上場企業としてきちんとした対策を行っている。
だが、身代金は支払わなかったようで、すでに「当社グループ会社の従業員及び関係者様に関する一部の情報が、漏えいした事実を確認した」と明らかにしている。
●「身代金を支払わない」が大前提
言うまでもなく、ランサムウェアへの対応としては「身代金を支払わない」というのが大前提となる。攻撃者を金銭的に支援することになるためだ。サイバーセキュリティー団体のJPCERTコーディネーションセンター(JPCERT/CC)も公式Webサイト上で「暗号化されたファイルが復元される保証がない」「被害原因や侵害による他の被害は未解消のまま」「支払い後に別の攻撃の被害や支払い要求を受ける恐れがある」として「身代金を支払うべきではない」と主張している。同団体は攻撃者との交渉も推奨していない。
そもそも筆者は「身代金を払え」「交渉しろ」と言いたいわけではない。他方で、サイバー攻撃に関する取材を進めていると「日本の企業の中にも『本音では支払ってしまいたい』と考えている企業も少なくない」と耳にする。今回の米国での事案のように、仮に支払うという経営判断を下した日系企業が出れば、日本国内でも身代金に関して再検討する動きがあるかもしれない。
●「ソーシャルエンジニアリング」増加中
セイコーについてはまだわからないが、少なくともシーザーズとMGMへのランサムウェア攻撃を成功させたシンプルな手口は、今回すでに明らかになっている。その手口は「ソーシャルエンジニアリング」と呼ばれる手法である。
ラスベガスのカジノへの攻撃では、攻撃者は、ビジネス特化型SNSのリンクトインなどで、ホテルの従業員の名前などをピックアップし、インターネットなどでホテルのIT担当部門の電話番号を見つけ出し、SNSで拾ってきた名前を駆使して、パスワードの変更を要求する。なんのことはない、さまざまな言い訳を考えて、電話先の担当者に本人であると信じさせればいいだけだ。
このソーシャルエンジニアリングは、サイバー攻撃でターゲットの企業などに侵入する主要な手口としてとして知られていて、人間の心理やミスを突いてくる。しかも今回のラスベガスのカジノを例に出すまでもなく、かなり効果的であるとこれまでも証明されている。
2020年には、ツイッター(現X)の有名アカウントが次々と乗っ取られる事件が起きた。米アップルの公式アカウントや、ビル・ゲイツやイーロン・マスクなども被害に遭った。このケースでは、攻撃者はビジネス特化型SNSなどを駆使して、ツイッター社員のメールアドレスや携帯番号などを入手。さらにSNS上に記載されている肩書から、リモートワークをしていると思われる社員を見つけ、そこに社員のふりをして電話連絡をして、ツイッター本部へのアクセス権をゲットしていたという。
最近では日本企業でも多要素認証などを導入しているところもあるが、ここまで見てきたようなソーシャルエンジニアリングでは、そうした対策も意味をなさなくなる。社員や取引業者などを調べて、電話などで設定をリセットするような要求して、担当者が説得されてしまえば、それで侵入を許してしまうことになる。
総務省も、これについては警鐘を鳴らしている。「電話でパスワードを聞き出す」「肩越しにキー入力を見る(ショルダーハッキング)」「ごみ箱をあさる(トラッシング)」といった手口を気を付けるようアドバイスしている。
どんな大規模なサイバー攻撃でも、蓋を開けてみると、こうしたある意味で「原始的」な電話を使った工作がきっかけだったりする。サイバーセキュリティ企業が提供するようなソリューションももちろん必要だが、それ以上に、こうした事例による啓蒙と社員教育が重要なのである。
