繰り返されるランサムウェア攻撃――『情報セキュリティの敗北史』からその本質を読み解く
記事:白揚社
アサヒGHDを襲ったランサムウェア攻撃とは?
2025年9月、大手飲料・食品企業であるアサヒグループホールディングス(アサヒGHD)が、ランサムウェアによる大規模なサイバー攻撃の標的となった。ランサムウェアとは、いわゆるマルウェア(コンピューターウイルス)の一種で、感染した端末を使用不可能な状態にしてしまうというもの。それを解除してほしければ身代金(ランサム)を払え、と攻撃者が脅迫してくることからこの名前がついた。
アサヒGHDの場合、Qilin(キリン)というハッカー集団が放ったランサムウェアによって大規模なシステム障害が発生し、国内全拠点の生産・出荷の即時停止という深刻な事態を引き起こした。この記事を執筆している時点でも影響は残っており、アサヒGHDの主力商品であるビール製品の一部で供給が滞っている。
最先端のサイバー攻撃について、情報セキュリティ分野の歴史から学ぶ
こうしたサイバー攻撃は増加傾向にあり、それに対抗するための仕組みや活動である「情報セキュリティ」も、その重要性が日々増している。情報セキュリティを進めるためにはテクノロジーに関する最新の知識が必要だと考えられており、実際に攻撃側が最新のテクニックやシステムの脆弱性(サイバー攻撃に悪用される弱点や欠陥)を利用する以上、守備側もそれに追いつかなければならない。
しかし攻撃に対して対症法的に応じるのではなく、根本的な治療を行うためには、「いま」という状況がどのようにして生まれてきたのかを考えなければならない、と情報セキュリティの専門家であるアンドリュー・スチュワートは主張する。
彼は著書『情報セキュリティの敗北史』の中で、情報セキュリティをめぐる歴史的な流れを解説した上で、「現在は過去の産物であり、今日の情報セキュリティ分野が直面している問題は、過去をより良く理解しない限り乗り越えられない」という表現を使い、このことを訴えている。
では『情報セキュリティの敗北史』で語られている過去の教訓は、今回のアサヒGHDに対するランサムウェア攻撃に対して何を語るのだろうか。いくつかのポイントを解説してみたい。
なぜここまで被害が拡大したのか
アサヒGHDへのランサムウェア攻撃において、攻撃後の被害が甚大化した背景には、社内システムの集中度合いの高さが影響したという指摘がなされている。
アサヒGHDは業務のデジタル化と一元化が進んでおり、効率化の裏返しで、一度中枢のシステムが止まれば関連する業務が芋づる式に麻痺するという潜在的なリスクに晒されていた。実際に今回の事件の発生後、受注から出荷、顧客対応に至るまで連鎖的にシステムがストップし、代替手段として手作業に切り替えざるを得なかったが、平常時の処理能力には遠く及ばず企業活動は大幅に停滞した。攻撃当初、システムを遮断する以外に有効策がなく、その結果長期間の操業停止という苦境に陥った点からも、問題が発生した場合の緊急対応手順や代替手段が不十分だったことがうかがえる。
このように、ある1カ所での障害が、システム全体やシステムのネットワーク全体に波及するというケースは、『情報セキュリティの敗北史』の中でも歴史的事例として繰り返し登場する。
たとえば1980年代後半から1990年代初頭にかけて、「ホストセキュリティ・モデル」から「ペリメータ(境界)セキュリティ・モデル」への移行が起きたことが解説されている。これは簡単に言ってしまえば、システムやネットワークの全体でセキュリティを徹底するという思想から、そのシステムやネットワークの「境界」となる部分に高い城壁を設け、その城壁や出入り口でセキュリティを徹底する一方で、内部では比較的ゆるやかな統制にとどめるという思想への移行だ。後者の方が全体としての負担は減るが、当然ながら城壁を突破されれば甚大な被害が出ることになり、実際に歴史的にそうした事態が多発することになる。
こうした「あるシステムにおいて、その箇所に障害が起きると、システム全体に障害が発生してしまうような部分」(これを「単一障害点」と呼ぶ)の発生とそれへの対処は、情報セキュリティの歴史の中で繰り返されてきたパターンだ。システムの中で使用される製品やテクノロジーは変われど、常に意識しておかなければならない問題だと言えるだろう。
二重に脅迫を受けたアサヒGHD
今回の事件においてQilinグループは、ランサムウェアを感染させたシステムを使用停止に追い込むだけでなく、その際にシステム内から機密情報を盗み出し、「身代金を払わなければ機密情報を公開するぞ」という「二重脅迫」戦略を採用したと見られている。
実際にQilinグループは、アサヒGHDから盗んだものと思われるデータの一部をウェブ上で公開しており、その中には従業員のものと思われるマイナンバー情報も含まれていた(マイナンバー情報の漏洩は日本において法的な対応を求められる重大な問題であり、Qilin側がこの点を認識して脅迫の深刻度を高めようとしたと考えられている)。
この「二重脅迫」は、『情報セキュリティの敗北史』の原著が出版された時期よりも後に主流化した戦術だが、情報セキュリティの歴史はそれが必然であることを教えてくれる。
たとえば前述の「ペリメータセキュリティ・モデル」のリスクは、まさに今回の事件に当てはめることができる。
実は自分の機密データが他人の手にわたっても、その内容を読まれるのを防ぐ手段が存在する。それは「暗号化」と呼ばれ、「暗号化アルゴリズム」という変換ルールに従ってデータを変換しておき(文字通り「暗号」にしてしまうわけだ)、その暗号を元に戻すために必要な鍵 (キー) を他人に漏らさないようにするというものである。
実はランサムウェアでもこの「暗号化」が利用されており、ランサムウェアに感染したシステムの中にあるデータは、強制的に暗号に変換されてしまう。データ本来の所有者 (被害者) はその暗号を解除する鍵を持たないため、重要なファイルやデータにアクセスできなくなり、結果としてシステムや業務が利用不能になってしまう(攻撃者はこの暗号を解除するのに身代金を要求する)。
歴史を踏まえた対策
つまり盗まれて公開されたりしたら困るようなデータは、すべて暗号化しておけば良いのだが、データを利用するたびに暗号化と解除のプロセスが必要となり、従業員の作業負荷が増加し、業務のスピードが低下する。また大量のデータに対して個別の暗号化を行う場合、鍵やパスワードの管理が非常に複雑になり、その管理自体が新たなセキュリティリスクやヒューマンエラーの原因になりかねない。
そこでデータを高い城壁で囲っておき、そこに入れる人にはデータを自由に使わせるというペリメータセキュリティ・モデルが採用されることになるのだが、前述のようなリスクが新たに発生するというわけだ。
また『情報セキュリティの敗北史』では、近年のトレンドとして、国家レベルでの支援を受けたハッカー集団がサイバー攻撃を行うケースが増えていると指摘している。その結果、攻撃自体を防ぐことが非常に困難になっており、情報セキュリティの焦点は、「防御策を突破された場合に、いかにして組織の内部で彼らを見つけ出し、排除するか」という「検知と対応」に移りつつあることを解説している。
(Qilinはロシア政府が直接指揮している組織ではないが、ロシア国内に拠点を置いていると考えられている。またそのランサムウェアは、ロシア語や東欧言語のシステムで実行されないようコーディングされており、ロシア国内で取り締まりを受けることを回避するための保身策と見られている。つまりロシア政府の黙認下で活動している可能性が高く、政府との間接的な関係性を指摘する専門家もいる。)
つまり本書の教訓に基づけば、二重脅迫の可能性を予測し、対策を打っておくべきだったと言えるだろう。具体的には、窃取された情報が公開された際の経済的・法的な損害を最小限に抑えるためのデータ保護(前述の暗号化など)とガバナンス(機密データへのアクセス制限、最小権限の原則の適用など)を最優先する必要があったと考えられる。
情報セキュリティの弱点は「人間」
情報セキュリティにおいて最も弱い部分、それはシステムの利用や運用に関わる人間たち自身だ。『情報セキュリティの敗北史』では、技術的な防御が進歩してきたにもかかわらず、攻撃者が人間の認知的、心理的、および組織的な弱点を悪用して成功を収めるというパターンが歴史上何度も確認できることを指摘している。
もちろんこの事実は、セキュリティ専門家の間で広く認識されてきた。1999年には「豚のダンスとセキュリティの選択を迫られたら、ユーザは常に豚のダンスを選ぶだろう」という有名な格言が生まれたことを、本書は紹介している。セキュリティ専門家たちは長年、ユーザがセキュリティ上の影響を理解せず、利便性やエンターテインメントを優先する傾向にあるのを懸念してきたのである。
しかし『情報セキュリティの敗北史』は、セキュリティを追求するコストが利益を上回る場合、ユーザがその助言を拒否することは合理的な行動だとも指摘している。
たとえば従業員に対し、パスワードを頻繁に変更したり、送られてくるメールがフィッシングメールでないか徹底的に確認したりすることを要求するのは、彼らにとっては負担を増やすだけだ。いつ発生するかわからないサイバー攻撃のために労力を費やせというのは、ユーザの視点から見れば非合理的であり、情報セキュリティの担当者はその姿勢の是非を問うのではなく、それを踏まえた上で対策を講じなければならない。
アサヒGHDに対する攻撃では、Qilinのランサムウェアがどうやって同社のシステム内に侵入したのか、まだ詳細は明らかにされていない。ただQilinの過去の攻撃手法については、フィッシングメール(詐欺メール)を従業員にクリックさせる、漏洩したパスワードや認証情報を使ってログインする、既知でパッチ(修正用ソフトウェア)も発表されていながら、企業側が対応を怠っている脆弱性を利用するなどの「人為的なミス」や「基本的なセキュリティ管理の抜け」を突くことが多いと専門家たちは指摘している。
仮にアサヒGHDに対する攻撃でも同様の手口が使われていたのだとすれば、単に「注意せよ」と指摘するだけでなく、セキュリティ面からは望ましいが当事者にとっては負荷の高い行動を、日常的に行う必要を極力なくす設計に注力すべきだった。それにより、攻撃者が多用する、フィッシングメール等の初期侵入経路の多くを封鎖できたと考えられる。
賢者は歴史に学ぶ
アサヒGHDへのランサムウェア攻撃は、まだ決着がついたというにはほど遠い状況であり、これからQilinの犯行の手口やアサヒGHDが取った行動の詳細が明らかにされるだろう。そこにはまったく新しい、技術的な落とし穴と呼べるものが含まれているかもしれない。
一方でアサヒGHDの事件は、サイバー攻撃が単なる技術的問題ではなく、歴史的な慣性から生まれる「情報システムそのものが内包している脆弱性」の問題であることを私たちに教えてくれる、新たな事例だと言える。この本質的な問題に対抗するためには、最新テクノロジーに関する知識と共に、過去に関する知識も持たなければならない。『情報セキュリティの敗北史』は、まさにその知識を提供してくれる、貴重な一冊となってくれるだろう。