セキュリティ対策としてあたり前のこと、できてますか?「WannaCry/Wcry」騒動が改めて教えてくれたこと
世界で感染が拡大している。として、ランサムウェア「WannaCry/Wcry」がテレビや新聞でこぞって取り上げられ、日本でも被害が発生しているといったことが報道されたりしています。
情報セキュリティとは無縁な方々からすると、何やら世界中で大変なことが起きているぞ。といった感じがするかもしれませんが、日々セキュリティ対策に従事している、いわゆる「中の人」からすれば、「WannaCry/Wcry」については、公知の対策をきちんとしていれば防げるようなものなので、
しょっちゅう来ているバラマキ型ウィルスと大して変わらない
ということで、マスコミが騒ぎ立てているからといって、慌てるような話でも何でもなかったりします。
普段からやるべきことをやっている方であれば、「何でそんなことで大騒ぎするかなぁー」と思っていらっしゃるはずで、実際、筆者が知る企業においても、特に慌てるというようなこともなく、普段と変わらずにいつも通りの対応をしています。
あたり前のことができていない組織が慌てることになる
「WannaCry/Wcry」が世界中で被害を拡大させている。といっても、被害にあっているのは、セキュリティパッチを当てていない古いWindows OSのパソコンです。
Windows XPも被害に遭うということから、マイクロソフト社が緊急でセキュリティパッチを提供したりしていることが、余計に話を大きくすることに一役買っているようにも思いますが、そもそも、サポートの切れているWindows XPを使い続けていて、しかも、ウィルスに感染してしまうような環境にXPマシンを置いているということ自体が、それってどうなんでしょうね?ということだったりします。
基本的なセキュリティ対策として、
1.オペレーションシステムは常に最新のものにしておく。
2.ウィルス対策ソフトを導入し、定義ファイルは最新化しておく。
3.違和感を感じるメールは開かない。
といったことを日々徹底してやっていれば、「WannaCry/Wcry」の件で慌てるようなことは何もなく、「WannaCry/Wcry」で悪用されている脆弱性については2か月も前の時点でセキュリティパッチが出るなど、対策方法が明らかにされていたので、迅速にセキュリティパッチを適用するなどの運用を普段から行っている組織であれば、大騒ぎなどしていないことでしょう。
要はあたり前のことをあたり前にやっている、また、できていれば何の問題もないわけで、「WannaCry/Wcry」によってデータが暗号化され、身代金を要求されるような目に遭ってしまうとすれば、それは単純に、あたり前のことができていなかった。ということで、「WannaCry/Wcry」による被害がどうのこうのと言うよりも、あたり前のことができていない状況にあったことこそ、大いに考えるべきことであると思います。
これが、対応に多額の費用がかかるというような話であれば、セキュリティ対策に予算を割く余裕がない企業だったら致し方ない。という話かもしれませんが、上記に挙げた3つの対策は多額の費用がかかるような話ではありません。
どの組織においても、やろうと思えばやれることをやっていなかった。とすれば、それはただの怠慢だと言われても仕方ないでしょう。
とはいえ、現実としては、わかっていてもできていない組織は多い
しかし、そうはいっても、あまり大きくない組織で、セキュリティに明るい人材が誰もいないような状況なら、そもそも「あたり前」と言われていることすら知らなかったりするということもあると思います。
また、頭ではわかってはいても、諸々の事情などがあって、やるべきことがやれていない。ということはありがちです。
そうしたケースでは、被害に遭って初めて、そうしたことをやらないといけなかったのだ。と気づいたり、やっぱりやらなきゃダメだったよね。などと思うに至ったりすることになるわけですが、それはそれで仕方ありません。
被害に全く遭わずに一生を終えられることは幸運ですが、被害に遭って気づきを得られたこともまた幸運と考え、今後はもう被害に遭わないよう、あたり前のことをあたり前にできるようになろう、また、やろうと決心し、行動に移しましょう。そうでなければ、被害に遭ったことは糧にならないというものです。
セキュリティ関連イベントなどに足繁く通って情報収集も大事ですが、今、足元にある、やろうと思えばいつでもできる「あたり前のこと」をやらないでいれば、いざというときに慌てることになるのは当然のこと。
でも、その「あたり前」のことができていないというのは、セキュリティ対策に限らず、よくあることです。
「WannaCry/Wcry」のようなものは今後もあたり前のように発生する
「WannaCry/Wcry」については幾つかの点で話題になっていますが、仕組みそのものは目新しいものでも何でもなく、以前よりあった手法を組み合わせたものでしかありません。
システムが複雑化する一方の現状にあっては、脆弱性については今後も幾らでも発見されうる可能性があり、犯罪者が発見すれば、ソフトウェアベンダーなどに知られないうちに悪用されるという事は十分に考えられます。
以前なら、悪用するにしてもメールを送り付けないといけないなど、拡散をさせるためにはそれなりの手間がかかりましたが、今は大量のIoTがあるので、乗っ取った大量のIoTから、一斉に攻撃を開始するといったことができてしまうような状況が生まれています。
このような状況の中では、ある日見つかった深刻な脆弱性がすぐに悪用され、大量のIoTを使って一瞬のうちに世界中に拡散される。ということも、シナリオとしては十分にあり得る話でしょう。
犯罪者にとっては、ますます有利な状況になる。というわけで、今回の「WannaCry/Wcry」騒動については、これまで、頭ではわかっているけれど、実際にはきちんとできていないこと。
1.オペレーションシステムは常に最新のものにしておく。
2.ウィルス対策ソフトを導入し、定義ファイルは最新化しておく。
3.違和感を感じるメールは開かない。
について、これを機会にきちんと正面から向き合い、しっかりと取り組むべきであることを、改めて認識する機会になったのではないかと思います。
あなたの組織が、今回の「WannaCry/Wcry」騒動でもし、慌ててしまったのなら、慌ててしまったことを糧に経営層を巻き込み、トップダウンであたり前のことがあたり前にできる組織になれるよう、改革を進めることを強くお勧めします。
ランサムウェアWannaCry対策ガイド rev.1
https://www.lac.co.jp/lacwatch/report/20170519_001289.html
→次の記事へ( 標的型メール訓練において、訓練メールを読んだのかどうかを確認する方法はあるか? )