KASEYA(カセヤ)社のサイバー攻撃被害に危機管理の真髄を学ぶ
掲載:2021年11月02日
改訂:2022年07月22日
執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
改訂者:ニュートン・コンサルティング 編集部
ニュートン・ボイス
企業や組織を狙ったランサムウェア攻撃の被害が後を絶ちません。2022年2月に起きたトヨタ自動車の国内全工場が一時停止に追い込まれた事案は記憶に新しいところです。こうした状況の中では、過去の攻撃事例およびその対処を教訓にして対策を講じることが欠かせません。
2021年7月2日、米IT技術大手KASEYA(カセヤ)社がサイバー攻撃を受けました。同社は、法人企業がPC端末を管理するためのIT管理ツールを提供している会社で、ツールを利用する企業は数万社に及びます。その管理ツール自体にランサムウェアが仕掛けられ、利用者である顧客約1,500社が被害を受けたとされています。レビルと呼ばれるハッカー集団から要求された身代金は7,000万ドル(約80億円)です。
被害対応の最中、「同社が身代金を支払ったのではないか」「セキュリティの脆弱性について指摘していた社員が解雇された」「そもそも経営のセキュリティ意識が低かった」などと、色々な報道がなされました。外部の人間である私には正確なところはわかりませんし、この場を借りて同社を非難するつもりもありません。ですが、KASEYA社がサイバー攻撃を受けた直後から同社の一連の危機対応を追いかけてきました。その中で、「なるほど、そういうことがあるのか。そんな対応をするのか。そういうことも起こるのか」など、サイバー対応の観点からはもちろんのこと、リスクマネジメントや危機管理の観点から「私なりの気づき」がありました。そのいくつかをご紹介したいと思います。
被害から終息までの主な流れ
「私なりの気づき」を申し上げる前に、KASEYA社に起きた一連の事象や同社の対応の流れを知っておくほうが良いと思いますので、以下に記載します。これらは、同社が社外に向けて発表した内容や、当時、メディアが取り上げた内容をもとに私がまとめたものです。わかりやすさを優先するため、私の主観でそれぞれのアナウンスの中身については適当に端折っています。その点はご了承ください。こうした一連の動きを知るだけでも勉強になります。
| 日時 | KASEYAの対応 | 世の中の動き |
|---|---|---|
| 7.2(金)04:00 | 「被害の可能性を認識したため初期調査を開始した」 | |
| 7.2(金)22:00 | 「我が社のIT管理ツールが攻撃を受けたことを正式に確認した」 | 報道が本格化 |
| 7.3(土)13:30 | 「FBI等と協働しており、原因が特定できそうだ」 | |
| 7.4(日)10:00 | 「被害チェックツールを配布中だ。段階的にサービスも再開予定だ」 | |
| 7.4(日)17:30 | 「原因特定フェーズから復旧計画実行フェーズに移行した」 | |
| 7.5(月)21:30 | 「1,500社近い企業が被害を受けたことが判明した。セキュリティパッチをリリースし停止中のサービスを順次再開させる予定だ」 | 7,000万ドルの身代金要求があったとの報道 |
| KASEYAのCEOがYouTubeにて声明 動画リンク https://www.youtube.com/watch?v=XfAyutRfy2A |
||
| 7.6(火)22:00 | 「問題発生のため、一旦パッチリリース準備作業を停止する」 | |
| 7.7(水)12:00 | 「問題の原因を特定した。7月8日夜までに解決できる予定だ。合わせて、パッチ適用のための作業手順書を準備中だ」 | |
| 7.7(水)20:00 | KASEYAのフレッド・ボッコラCEOがYouTubeにて状況説明 | |
| 7.7(水)21:45 | 「セキュリティパッチ適用のための準備作業手順書を公開した。展開スケジュールはまだ見直している最中だ」 | |
| 7.9(金)09:00 | 「本インシデントに便乗し、KASEYAからの情報連絡を装ったフィッシングメールが飛びかっているようだ。注意してほしい」 | |
| 7.9(金)12:00 | 「先のフィッシングメール送信者たちが、今度はKASEYAパートナーになりすまして、顧客に電話をかけてきているようだ。注意してほしい」 | |
| 7.10(土)15:30 | 取締役副社長が状況について動画で報告 | 数年前、杜撰なセキュリティを指摘した社員がクビになっていたという報道 |
| 7.11(日)16:30 | 「セキュリティパッチの配信を開始した」 | |
| 7.11(日)22:00 | 「予定通りにサービス復旧が進行中だ。現在、顧客の60%が復旧」 | |
| 7.12(日)03:00 | 「顧客の95%が復旧した」 | |
| 7.12(日)08:00 | 「午前3時半の段階で顧客のサービスの100%を復旧することができた」 | |
| 7.16(木)19:00 | 「今回のセキュリティ強化に伴って引き起こされた機能上の問題(セキュリティの問題ではない)を解決する新パッチをリリースする」 | |
| 7.22(水)15:30 | 「サードパーティからランサムウェアの解除キーを入手できた。データを暗号化され回復できていない顧客のデータ回復に向けて動く」 | |
| 7.23(木)15:00 | 「ランサムウェアの解除キーを使って、被害企業の暗号化されたデータ(バックアップがなかったもの)の回復作業を実行中だ」 | |
| 7.26(日)13:00 | 「暗号化解除キーは100%機能することが確認できている。まだ被害回復できてないお客様はコンタクトしてきてほしい」 「なお、解除キー入手のために身代金を支払ったのではないか、という憶測が流れているが、我々は専門家と相談の上、支払いをしないと決めた。支払ってはいない」 |
なお、より詳しい経過をお知りになりたい方は、この記事の最後に詳細をまとめましたのでご覧ください。
KASEYA社の事例に見る学び
#1.「どれだけ脆弱か」よりも「人質としての魅力がどれだけあるか」でリスクを測ることが重要
ハッカーに狙われやすい企業の指標に「セキュリティが弱いかどうか」がありますが、昨今はそれよりも「人質としての魅力があるかどうか」に判断軸がだいぶ傾いてきているなと感じました。
ランサムウェア攻撃は、そもそも「人質をとってなんぼ」ですから(政治的な目的で攻撃対象を選んでいる場合もあるでしょうが)、基本的には「どれだけ大規模な人質を取れるか」にかかっていると言えます。言い換えれば、彼らは1回の攻撃でできるだけ被害範囲を拡大させることのできるターゲットを選ぶ強い動機を持っているわけです。KASEYA社はIT管理ツールを提供している会社であり、顧客はそれを使ってさらに多くのユーザにサービスを提供しています。同社はいわば、IT管理サービスのサプライチェーン上流に位置する企業であると言え、攻撃者にとってはここを陥落させてしまえば、その下流域にいる企業をコントロール下におけることになります。2020年12月にやはりサイバー攻撃の被害を受けた米国のセキュリティ企業大手Solarwinds(ソーラーウィンズ)社も、類似するビジネスモデルでした。2021年5月には、米国最大の石油パイプラインが、サイバー攻撃を受けて5日間にわたり操業停止となりましたが、このような「インフラ企業を狙う」行為も、やはり人質としての魅力があったからでしょう。同じ理由でクラウドサービスを提供する企業や、生産ラインを持つ企業などは非常に狙われやすいと言えます。
すなわち、「自社のITサービスにセキュリティが弱いところがないか」という観点でみることはもちろん、「自組織内に人質としての魅力の大きいITサービスがないか」という観点で観察し、「そうしたITサービスはどんなに強固なセキュリティを施していたとしてもいつかは破られる。その時にしっかりと対応できるようにしておく」という心構えを持つことが大事ではないでしょうか。
#2.サイバー攻撃は一番起きて欲しくないタイミングに最も困る形で起きる
今回のサイバー攻撃の兆候が最初に確認されたのは7月2日の金曜日です。つまり、週末に入る直前のタイミング。しかも、7月4日はアメリカの独立記念日(祭日)であり、2021年のカレンダーでは日曜日と重なっていたため振替休日となり、土・日・月が3連休になるという状況でした。3連休に入る直前に起きたサイバー攻撃は決して偶然ではありません。意図的なものです。先述しましたように、ハッカーの目的は「身代金を得ること」ですから、身代金の対象となる人質ならぬ「データ質」を確実におさえるとともに相手をできるだけ困らせる必要があります。そのため、攻撃対象の防御が最も手薄で困るタイミングを狙うのです。ハッカーは我々が思っている以上に狡猾です。先の石油パイプラインの事例では、バックアップデータから復旧することができないよう、まずデータバックアップ機能を停止させ、そこから何日間かわざと時間をおいて、古いバックアップデータしか残っていない状況を作ってから攻撃をした、ということもわかっています。
ここから何が学べるのか。そうです、サイバー攻撃訓練をする際には、「最悪のタイミング・最も困る形で起こることを想定したシナリオ」に基づく訓練が有効である、ということです。
#3.危機対応の最中に、新たな危機が襲い掛かる
どの世界にも、危機的状況を悪用する輩はいるもので、KASEYA社が危機対応をしている最中、それに便乗して被害顧客にKASEYA社を装ったフィッシングメール(偽サイトに誘導しウイルス感染させるメール)を飛ばしたり、KASEYAのパートナー企業を装い、偽の電話をしたりする悪意ある第三者が現れました。KASEYA社も顧客も状況回復に必死ですから、そうした状況下で送られてきたメールなら、ついつい開いてしまいますよね。加えて、サイバー攻撃が発覚してから9日後の7月11日には、一部のメディアが、同社の経営者を非難する報道をしています。具体的には「2017年ごろにKASEYA社の杜撰なセキュリティを指摘した社員がクビになっていた」という報道です。さらに最後の方では「身代金を払ったのではないか」という非難めいた憶測まで流れました。泣きっ面に蜂とはこのことです。
KASEYA社を非難する報道内容が事実かどうかはおいておくにしても、ここでの学びは何かというと、危機対応の中で「さらなる危機が襲い掛かることが十二分にあり得る」ということではないでしょうか。中でも、危機発生下でフィッシングメールが飛び交うというのは意外に盲点なのではないかなと思います。企業のインシデント対応計画に、そうしたことが想定されていない場合も多いのではないでしょうか。ちなみに「フィッシング問題についてどうしたらいいのか?」という点についてはKASEYA社の対応が参考になります。同社は、こうした事象が確認されて以後、「メールに重要なリンクを貼り付けたり、添付ファイルをつけたりすることを一切辞める」とアナウンスしています。リンクはその全てを同社のWEBで公開し、またファイル共有については、デジタル署名をつけて同社の特定のサイトからしかダウンロードできないようにしています。
#4.危機的な状況だからこそ、上席者が包み隠さず正直に誠実に頻繁にアップデート
KASEYA社の対応が「完璧だったかどうか」は誰にもわかりません。ただ、彼らの情報発信の仕方を見て、彼らがこういう場合に「何を信条としてインシデント対応を行なっていたのか」は感じることができますよね。それは、危機発生下では、「包み隠さず正直に誠実に頻繁にアップデートする」という姿勢です。後述しますが、CEO自身が実際にそのことを意識している旨の発言をしています。そしてそれは、先述した彼らの一連のクライシスコミュニケーションの頻度や手段、内容を見ると容易に想像ができます。頻度に関して言えば、数時間おきに何度も情報発信をしています。トータルでは、攻撃発覚から復旧に至るまでの約10日間に全40回の情報発信をしていました。もちろん、裏ではさらに数多くのコミュニケーションをお客様や利害関係者にとっていたと思われます。しかも進展がない場合でも「何時までには何かしらのアップデートをしたい」というアナウンスを出していますね。また、コミュニケーション手段にも工夫がみられます。最初こそ、WEB中心でしたが、発生から4日後の7月6日あたりからは動画も使い始め、CEOやCTO、EVPなど組織の幹部が積極的に動画を使って情報発信をしています。
なお、このクライシスコミュニケーションの姿勢は、やはりサイバー攻撃の被害を受けた米ソーラーウィンズ社のラーマクリシュナ社長が、あるインタビューの中で反省の弁として語っていたことでもあります。ラーマクリシュナ氏は、あるべきインシデント対応について「起きたことに対して、利害関係者と徹底的に透明性を意識したコミュニケーションを図ることが何よりも大切だ」と述べていました。KASEYA社の実際のコミュニケーション事例と重ね合わせてみると、その有効性について納得感がありますよね。
#5.やはり相応の期間のサービス中断が起きる
何を持って復旧とするかにもよりますが、仮に「お客様が通常通りにサービスを使えるようになる状態」を復旧と定義すると、KASEYA社の場合、復旧したのはサイバー攻撃発覚から10日後の7月12日です(その後も一部の顧客での回復作業は残っていましたが正確なところはわからないため、一旦12日を指標としておきます)。となると、サービス中断期間は10日間で、一般的な営業日に換算すると約2週間のサービス停止といえます。復旧するまでの期間は、攻撃の種類やシステムの種類、どれくらい止めてはいけないシステムなのか、身代金を支払うかどうか、BCPはあるのか等、いくつかの変数によっても変わってくるでしょう。例えば先述の石油パイプラインの事例では、発生から6日後にパイプライン操業を再開しています。
このように、状況によってサービス中断期間は異なりますが、少なくとも数時間や数日ではないということは明らかです。仮にそうした被害が自社で起きた時、機会損失や損害賠償金等を含めどれくらいの損害額になるのかを考えた上で、セキュリティに対する投資額を決めたいところです。また、サイバー攻撃や各種BCP策定時には、最低でも「サービス中断2・3週間から1ヶ月」といったシナリオを設けることがやはり現実的であるように感じました。
終わりに
実は、前出のソーラーウィンズ社長ラーマクリシュナ氏は、こうも言っています。「どんなセキュリティでも本気で攻撃されたら破られる可能性がある ※(まして背後に国家が絡んでいたらひとたまりもない)。そして、危機対応の最中、誰もどうやって対応したらいいか、正解なんてわかってないんだ。だから、謙虚さが重要だ」と。これはつまり、「指揮をとる側はなんでも答えを持っていなければいけない」と思っちゃダメだ。そう思ってコトに当たると、部下にもお客様にも正直に話せなくなるし、相談もできなくなる。周囲に助けてくれとも言えなくなる。そうなると余計に事態を悪化させてしまうことになる」ということかなと思います。
※ラーマクリシュナ氏はサイバー攻撃被害を受けた後、当時を振り返って「決してセキュリティレベルは世間の相場に比べて劣るものではなく、むしろそれ以上のレベルだった」と述べています
KASEYA社のフレッド・ボッコラCEOも、間違いなくラーマクリシュナ氏のアドバイスを聞いていたのでしょうね。攻撃発覚から4日後の7月6日、動画(https://www.youtube.com/watch?v=XfAyutRfy2A)で次のような声明(動画から大事なポイントを抜粋)を出しています。
- 7月2日にランサムウェア攻撃を受けた。本当に許し難い行為だ
- 何が起きたか、我々はどこまで把握できているか、どうやって顧客を助けるのか等をお伝えする
- 潜在的な問題を検知して、その後1時間以内には、念の為サービスを停止させた
- 約50社(37,000社中)の顧客が攻撃対象となり、そこにぶら下がる800~1,500社の顧客がランサムウェア被害に遭った
- FBIや国土安全保障省、ホワイトハウス、我々のパートナーが協力してくれている
- 大手のセキュリティソフト会社からも、普段は顧客を取り合っている競合先コンペ先からも、「何かできることはないか?」と手を差し伸べようとしてくれている
- セキュリティの専門家も、こうした攻撃はどの企業にとっても「起きる起きない」の話ではなく「いつ起きるか」というだけの話だと言っている
- みんな全力で対応している。過去2日間で150人の仲間が4時間も寝ていない
- 何かあった時、起きたことをすぐに認め、隠さずに情報を出し、助けを求め、顧客にフォーカスすることが何よりも大事だと思っている
- 非常に慎重にコトにあたる予定で、セキュリティパッチをテストし段階的にリリースをしていく
- 困っていたらいつでもコンタクトしてきてほしい。こちらからもコンタクトしていく
- ある人が私に良いアドバイスをくれた。「世界最高のディフェンス陣でも得点されるのだ」と。どんな最高のセキュリティでも破られるということだ。マイクロソフトもSolarwinds社もみんなやられた。誰にでも起こることなんだ
- 私たちはあきらめずにコミットしてコトに立ち向かう
「隠さずに情報を出す」「助けを求める」「どんな最高のセキュリティでも破られる」・・・ラーマクリシュナ氏の話に登場したこととそっくりです。
気づいた方もおられると思いますが、そうは言っても割と「開き直っているような発言」にも見て取れたのは私だけでしょうか。何より、「えっ!?一切、謝らないんだ・・・」とちょっとびっくりもしました。そこは米国の文化なんですかね(笑)
| 日時 | KASEYAの対応 | 世の中の動き |
|---|---|---|
| 7.2(金) 04:00 |
「被害の可能性を認識したため初期調査を開始した」
|
|
| 7.2(金) 22:00 |
「我が社のIT管理ツールが攻撃を受けたことを正式に確認した」
|
|
| 7.3(土) 10:30 |
「被害を受けたのはオンプレ型サービス利用顧客のごく一部のみだ」
|
報道が本格化 |
| 7.3(土) 13:30 |
「FBI等と協働しており、原因が特定できそうだ」
|
|
| 7.3(土) 21:00 |
「顧客に直接連絡する。被害チェックツールも配布予定だ」
|
|
| 7.4(日) 10:00 |
「被害チェックツールを配布中だ。段階的にサービスも再開予定だ」
|
|
| 7.4(日) 17:30 |
「原因特定フェーズから復旧計画実行フェーズに移行した」
|
|
| 7.4(日) 23:00 |
「復旧の見込み時間を見直す必要が出てきた」
|
|
| 7.5(月) 11:00 |
「午後にはアナウンスを出せるようにしたい」 | |
| 7.5(月) 13:00 |
「本日、午後3時に再度集まり、スケジュールを見直す予定だ」 | |
| 7.5(月) 18:30 |
「本日、午後7時から8時に改めてアナウンスを出すことにした」 | |
| 7.5(月) 21:30 |
「1,500社近い企業が被害を受けたことが判明した。セキュリティパッチをリリースし停止中のサービスを順次再開させる予定だ」
|
7,000万ドルの身代金が要求されている旨の報道 |
| 7.6(火) 12:00 |
「スケジュールを後ろ倒しにする」
|
|
| 7.6(火) 17:00 |
「本日18:00にアナウンスする」 | |
| KASEYAのCEOがYouTubeにて声明 動画リンク https://www.youtube.com/watch?v=XfAyutRfy2A |
||
| 7.6(火) 19:30 |
「更なるセキュリティ強化作業を実施中だ」
|
|
| 7.6(火) 22:00 |
「問題発生のため一旦パッチリリースに向けた活動を停止する」 | |
| 7.7(水) 08:00 |
「問題は未解決だ。本日正午に状況をアップデートしたい」 | |
| 7.7(水) 12:00 |
「問題の原因を特定した。7月8日夜までに解決できる予定だ」
|
|
| 7.7(水) 15:00 |
「手順書の仕上げの最終段階だ。完成次第メールにて皆様に送付する。WEBにもアップする」 | |
| 7.7(水) 19:00 |
「展開スケジュールを再度見直している。今晩、CEOが動画でも情報をアップデートする予定だ。手順書は今晩遅くにこのサイトにアップする」 | |
| 7.7(水) 20:00 |
KASEYAのフレッド・ボッコラCEOがYouTubeにて状況説明 | |
| 7.7(水) 21:45 |
「セキュリティパッチ適用のための準備作業手順書を公開した。展開スケジュールはまだ見直している最中だ」 | |
| 7.8(木) 13:30 |
「今朝CEOからのメッセージ動画をアップした」
|
|
| 7.8(木) 17:00 |
CTOが動画にて進捗状況を報告 | |
| 7.9(金) 09:00 |
「本インシデントに便乗し、KASEYAからの情報連絡を装ったフィッシングメールが飛びかっているようだ。注意してほしい」
|
|
| 7.9(金) 12:00 |
「先のフィッシングメール送信者たちが、今度はKASEYAパートナーになりすまして、顧客に電話をかけてきているようだ。注意してほしい」 | |
| 7.9(金) 17:00 |
「今晩、状況報告を動画で行う」 | |
| 7.9(金) 18:00 |
取締役副社長が状況について動画で報告 | |
| 7.9(金) 19:00 |
「予定通り7月11日の午後4時からパッチ配布を開始する」 | |
| 7.10(土) 09:30 |
「予定通り7月11日の午後4時からパッチを配布する予定だが、改めて作業準備手順書を確認しておいてほしい」 | |
| 7.10(土) 14:00 |
「今晩、再度、取締役副社長から状況をアップデートする」 | |
| 7.10(土) 15:30 |
取締役副社長が状況について動画で報告 | |
| 7.11(日) 10:30 |
「予定通り7月11日の午後4時からパッチ配布開始予定だ。一部セキュリティをさらにアップデートした」 | 2017年ごろに杜撰なセキュリティを指摘した社員がクビになっていたという報道 |
| 7.11(日) 12:15 |
取締役副社長が状況について動画で報告 「パッチ配布の最終段階に入った」 |
|
| 7.11(日) 16:30 |
「セキュリティパッチの配布を開始した」 | |
| 7.11(日) 22:00 |
「予定通りにサービス復旧が進行中だ。現在、顧客の60%が復旧した」 | |
| 7.12(日) 03:00 |
「顧客の95%が復旧した」 | |
| 7.12(日) 08:00 |
「午前3時半の段階で顧客のサービスの100%を復旧することができた」 | |
| 7.12(日) 12:15 |
「12時から14時の間に20分程度の臨時メンテナンスを行う」
|
|
| 7.12(日) 15:30 |
「臨時メンテナンスは無事に終了した」 | |
| 7.13(月) 20:00 |
「7月11日に新しいバージョンをリリースしたので、改めて関係する情報には目を通しておいてほしい」 | |
| 7.14(火) 17:00 |
一部作業に当たっての注意事項をアナウンス | |
| 7.16(木) 19:00 |
「今回のセキュリティ強化に伴って引き起こされた、機能上の問題(セキュリティの問題ではない)を解決するため新たなパッチをリリースする」 | |
| 7.19(日) 15:15 |
「16日にアナウンスしたパッチのリリースを開始する」 | |
| 7.22(水) 15:30 |
「サードパーティからランサムウェアの解除キーを入手できた。以後、データを暗号化され回復できていない顧客のデータ回復に向けて動く」 | |
| 7.23(木) 15:00 |
「ランサムウェアの解除キーを使って、被害企業の暗号化されたデータ(バックアップがなかったもの)の回復作業を実行中だ」 | |
| 7.26(日) 13:00 |
「暗号化解除キーは100%機能することが確認できている。まだ被害回復できてないお客様はコンタクトしてきてほしい。なお、解除キー入手のために身代金を支払ったのではないか、という憶測が流れているが、我々は専門家と相談の上、支払いをしないと決めた。支払ってはいない」 |
