「EternalPetya」 の拡散を受け、規制当局は被害者を罰することがあるのか?

6月下旬、多くのシステムに急速に拡散したウイルス「EternalPetya (別名:Petya、NotPetya、NonPetyaまたはExPetr)」は、世界中に破滅的な影響を及ぼしました。あらゆる規模の企業が、この攻撃によって重大な経済的損失を被ったことを公に認めています。

「EternalPetya」の影響は、情報システムの再開や再構築などをはるかに上回る被害をもたらしました。欧州においては、刑事責任の追及が生じる可能性が浮上している中、ここアメリカの規制機関は、企業がなぜ、そしてどれほど深刻に、このサイバー攻撃の被害を受けたかに関する捜査を行なっています。

この捜査を先んじて進めているのは、サイバーセキュリティに関してアメリカで最も強固な規制政策を履行しているニューヨーク州金融監督局 (DFS) です。Wall Street Journal Pro の購読者向けに配信されたメルマガ記事『Cybersecurity Commentary & Analysis(サイバーセキュリティに関する解説と分析)』 の中で、ニューヨーク州DFSの最高責任者であるMaria T. Vullo氏は、

「EternalPetyaなどのサイバー攻撃は、最低限の規制基準と強固なサイバーセキュリティプログラムの必要性を再認識させられる」と述べており、こうしたサイバー攻撃に対する適切な措置が講じられるよう、すでにDFS監督下の企業に連絡を取っていると発言しています。

Vullo氏の発言を踏まえた上で、監督下の企業が今後 DFSによる捜査を受けた場合、サイバーセキュリティ規制のどの項目を企業は意識しておくべきか、項目別でまとめました。

  • 500.02 – サイバーセキュリティプログラム:DFSはセキュリティプログラム全般が十分であったかを確実に検証します。
  • 500.03 – サイバーセキュリティポリシー: DFS は、ビジネス・コンティニュイティ(事業継続)やディザスタディカバリ(災害復旧)、そしてインシデントレスポンスなどを含む、個々のポリシーが十分であったかを捜査します。
  • 500.05 – ペネトレーションテストおよび脆弱性アセスメント:EternalPetyaのエントリポイントをペネトレーションテストで特定できたかについて、そしてその結果を十分に考慮したかについて問われます。
  • 500.09 – リスクアセスメント:DFS は十分なリスクアセスメントがされていたかを必ず捜査します。
  • 500.11 – 第三者サービスプロバイダのセキュリティポリシー:組織に直接的な被害は生じていなくても、そのサービスプロバイダはほぼ確実に影響を受けています。「EternalPetya」によってもたらされた混乱に関して、DFS はデューデリジェンスと最低限のセキュリティ対策が適切なベンチマークに達していたかについて調べます。
  • 500.16 – インシデントレスポンス計画:DFS は監督下の企業に対し、被害を受けた際のインシデントレスポンス計画が、迅速な復旧を行うため適切に設計されたものであったかを慎重に検証します。

ここで言及しておくべき重要なことが2つあります。まず、上の項目は完全なリストではありません。あくまで組織によるコンプライアンスからの逸脱や、それが罰則の対象になるかどうかに関して、新しい規制がどの程度の裁量をDFSに与えるかを示したものです。

次に、サイバーセキュリティに関する DFSの規則は、段階的に導入されている過程にあります。現段階においては、DFS は罰則を科す権限を有してはおらず、今後18ヶ月間は懲罰を科すための権限は持てない可能性もあります。

「EternalPetya」関連の捜査では、アメリカの政府機関から流出したとされるハッキングツールを使ったサーバー攻撃に対し、企業のシステムがいかに脆弱であるかに焦点があてられることになるでしょう。ハッカーはこれらのツールを兵器化することに急速に慣れつつあり、世界中の何百もの組織に影響を与える強力なマルウェア・キャンペーンを実行しています。

「EternalPetya」 や 「WannaCry」 を使ったキャンペーンでは、 SMB (サーバーメッセージブロック) の脆弱性を悪用した 「EternalBlue」 と呼ばれるエクスプロイトを用いることで、マルウェアが急速に広がりました。このメカニズムを駆使することで、マルウェアはネットワークとインターネットで急速に拡散できるのです。

「EternalBlue」 は、「EternalPetya」 のキャンペーンでも使用されていますが、EternalBlueが効果的に機能しない環境でも確実に拡散できるように、これ以外の手法も用いられています。ランサムウェアにワームのような機能を取り入れたり、破壊的なマルウェアを使用したりすることで、脅威が相当な規模で拡散しました。さらに、ランサムウェアが幅広く利用されるようになった状況と、これらのキャンペーンを通じてこのエクスプロイトの有効性が認知されたことで、このツールが様々な動機を持った多くの犯罪者に影響を与えていることに疑いの余地はありません。

この事案がこれほどの規模に発展する前の段階で、FireEye はすでにこの問題をエスカレーションし、サイバー攻撃ツールが洗練化されていることを確認していました。金銭に動機付けられた攻撃キャンペーンにおいて有用性がすでに実証されているこのツールは、今後国家による強迫の手段として使用される機会が増えると思われます。この技術そのものが国家機関によって開発された可能性を考慮すると、「WannaCry」 と「EternalPetya」 のキャンペーンが国家規模で使用されるシナリオは十分にあり得ます。

ニューヨークのDFS監督下の企業や、政府の規制対象に該当する組織にとっては、EternalPetya から得られる教訓は明らかであるはずです。つまり、今後規制機関は、サイバー攻撃の被害者側のセキュリティ対策が不十分であることを宣言することで、その過失に対する罰則を言い渡すための手段を無数に持っているということです。

 

FireEye ® (ファイア・アイ)について
FireEyeはインテリジェンス主導型のセキュリティ企業です。顧客企業は、FireEyeの革新的セキュリティ技術、国家レベルの脅威インテリジェンス、世界的に著名なMandiant®コンサルティングの知見が統合された単一プラットフォームを、自社のセキュリティ対策の一部としてシームレスに組み込むことができます。このアプローチにより、FireEyeは準備、防御、インシデントレスポンスといった、組織がサイバー攻撃対策をするうえでの課題となっていた複雑性や負担を解消します。FireEyeは「Forbes Global 2000」企業の4割以上を含む、世界67か国以上の5,800を超える組織で利用されています。

FireEyeウェブサイト

                           

【報道関係の方からのお問い合せ先】
ファイア・アイ広報事務局
(ホフマンジャパン株式会社内)
担当: 小倉 / 上田 / 田中
Tel: 03-5159-5750
Email: FireEye_PR@hoffman.com

# # #

FireEyeはFireEye, Inc.の登録商標です。その他すべてのブランド、製品、またはサービスの名前は、それぞれ該当する所有者の商標またはサービスマークである可能性があります。