ランサムウェアとセキュリティの現実

この記事は約13分で読めます。

最近、ランサムウェアによる被害のニュースが増えてきた。
主に対応するとなるとセキュリティエンジニアの出番だろう。
だが本物のセキュリティエンジニアは非常に数が少ない。

現在、IT業界は高度に細分化されている。昔はシステムエンジニアでひとくくりだったが、コンサル系、マネジメント系、開発系、サポート系・・・
などなど多種多様にあり、全部の職種を経験している方は、まずいないだろう。
プログラム開発をするにしても、用途によって最適な言語は多種多様にあるし、同じ言語でもフレームワークが違うとコードの書き方が変わってくる。
これらは似ているようで全く違うスキルだ。複数のスキルを実践的に扱える方は少ない。

最近のエンジニアのキャリアパスを見ると、開発系のキャリアを持っている方も30代半ばでマネジメント系やコンサル系へ移る方が多い。
理由は簡単で、金回りが良いからだ。
その昔、35歳定年説とかささやかれていたのだが、やっぱりその通りに近くて、年齢を重ねるごとに頭が固くなってしまいトレンドも追えなくなってしまうので、マネジメント系に移るのだ。
大手企業だと本人の意向に関係なくマネジメント系へ移される。そうしないと給料が出せない仕組みになっているからである。キャリアパスと人事制度がマッチしていないため、どうしてもエンジニア職に止まりたい人は転職する人も珍しくない。
マネジメント系に移ると、基本的に収入は増えるし相対的な信用度が上がる。例えば住宅ローンなんかで審査するにしても、スタートアップ企業のエンジニア職より上場企業の課長職の方がはるかに審査が通りやすい。もちろん仕事をする上でも、名刺に課長だとかマネージャーだとか記載があると、一目置いて貰えるのが一般的だ。
ただこの瞬間にエンジニアという肩書きは失われ、二度と元の仕事には戻れない。マネジメント系はやっぱり合わないからと戻ろうにも基本的に若い方の方が優秀な傾向だ。
仮に戻れたとしても、一度外れたエンジニアとして高い賃金を出すことは少ない。
それで仕方なくマネジメント系で頑張ろうにも、エンジニア職より遙かに少ない人数しか必要が無いため、競争が激しい。コンサル系は、はっきり言ってエンジニア的技術は必要ない。客が夢を持てる提案が出せればOKだ。そして体力勝負なところがある。全く別の技術なのである。
結果、どこにも進めず不遇なキャリアパスを進んでいる方を何人も見ている。ITから離れる人も珍しくない。
「IT系はやめとけ!」と言われるが、この辺が理由だ。残れる確率が今でも低い。

その為か、自分が知る中で現在50代にも関わらずエンジニア職の肩書きで頑張っている方は、特に優秀な方が多い気がする。おそらくエンジニア職を目指した方の5%も残っていないんじゃないだろうか?
しかもインターネットバブル前だし、そもそも氷河期世代なので絶対数も少ない。
努力でどうこうできるものでもなく、元々のセンスが高い。運動が苦手な方が、どんなに努力してもオリンピックで金メダルは取れないのと同じだ。
新卒で文系エンジニアを大量に採用していたりするが、それはソルジャー要員としてであり、その中からマネジメント系の技術者になれるものをふるいにかけて拾うためだ。自分の知る限り50代でも残っている人は、今のところほぼ理系出身だ。
文系のエンジニアは、どちらかというとコンサル系に進んでいる。

ランサムウェアはサイバー攻撃と言われているが、血の流れないテロに近い。
昔は破壊活動的なことを行っても自己満足の世界で完結していたが、金が取れるビジネスとして完成してしまった。本気度が違い、今後も形を変えて増え続けるだろう。

日本の場合、対応システムを導入するとなると、コンサル系がランサムウェア対応の提案を行い、マネジメント系がプロジェクト管理を行い、開発系が実働部隊として設置するのが一般的だ。
企業の情報システム部門がとりまとめて、経営層がOKすれば対応される。
この登場人物の中に、ランサムウェアを実装できるようなスキルのある方はまずいない。
この辺が一人でまかなえるとしたら、口の達者な50代のエンジニア職くらいだろう。

実際のところ自身がランサムウェア攻撃ができるスキルが無いのに、防御スキルを持つことは不可能だ。
攻撃側は日々アップデートしているわけで、それを上回る能力が無いと対応が出来ない。
たまに若いセキュリティエンジニアで自身のスキルを自慢する人をみかけるが、実際に独自のプログラムで攻撃できる様なスキルを持っている人はほとんどお会いしたことがない。大抵はどこからかダウンロードしてきた攻撃ツールを動かして、防御側としてはファイアウォール等の設定がそれとなくできるだけだ。
全部他人が用意したツールを使うだけしかできない。
今はエンジニアと言っても何かしらの簡単なプログラムを作れないのが普通なので驚かないけど、それでセキュリティエンジニアを名乗るのは、正直違和感を感じている。

コンサルあたりでは、最近流行のゼロトラストの概念を導入すれば大丈夫!とかうたうが、実際に本当に理解して言っているのか疑わしい。売上の方が大事で、実際に効果的に対策できているかは運だと思っているし、もしもの時はパッケージの責任にすれば良い。
マネジメント系は案件管理のために、納期通りにコストを最小限にするのが目的だ。こちらもプロジェクト終了後は離れるので、その後はどうでも良いのである。効果については評価しない。最近流行の目標設定シートには運用後のことは記載しないので、それは運用チームの責任だ。
インフラのエンジニアもパッケージをそのままインストールしているだけである。
言われたとおりに設定しているだけで、もしもの時は製品の不良だと言い張るだけだ。
誰も責任は取らない。

被害を被るのは情報システム部門だ。ただ情報システム部門は残念ながらコスト部門とみなされているので給料を出さない。
人材不足と言われているが、金が無いから集まらないのである。
ランサムウェア攻撃ができるような人は、自身でインフラ周りの設定から開発まで一人でできるのが当たり前だ。状況に応じて開発言語やOSなども最適な物を選択できる。
必要な道具も自前で当たり前の様に作成してしまう。
軍隊で言えば将校ではないものの、特殊部隊の隊長みたいな方が相手だ。
相手はランボーみたいな人達である。自身も特殊部隊並のスキルが無いと太刀打ちが出来ない。
しかも現在は高度に組織化されているので、狙われたらひとたまりも無い。

最近は大企業を中心に、このような事に対応できる高度人材(AI対応なども含めてだけど)を裏で活発に探している。奪い合いの状況に近い。
もちろん自社の要望に100%対応できるような人材はいないことがわかっているし、まず表に出てこないので人材紹介会社と長期契約をして良さげな人が居れば採用する感じで気長に待っている。
何らかの理由で表に出てくると、すぐさまエージェントがコンタクトを取るのだ。
良く転職サイトに非公開案件「○○件」とか自慢そうに書いていたりするが、全く別のルートであり、案件を紹介するのでは無く元々無かった案件そのものを作り出した上で双方に提案するのである。完全にオーダーメイドで一本釣りだ。
そのため非常にハイレベルな人材エージェントが対応している。
企業としては気がついていなかった自社に不足する人材を埋められるし、転職する方は賃金は上昇するし、エージェントもその分報酬金額が非常に高い。
全員が満足度が高い。ただ転職する方のスキルが思いの外低いと、全員がとても不幸になってしまうという諸刃の剣なのである。この場合、大抵転職者がババを引いて放り出される。

さて、ランサムウェア攻撃をする立場からすると、おそらく日本企業への攻撃は容易いだろう。
今までは日本語のハードルがとても高く、怪しげなメール等は本文を読めば大抵違和感で分かった。最高のファイアウォールだったと思われる。
しかしながら生成AIが発展し、これが解消してしまった。吐き出す日本語を見ると全く違和感が無い。しかも最近は、そもそも日本人が関与しているのでは?と思うこと多々ある。ランサムウェアの被害率が高くなった。

日本の場合、まず組織構造から問題だ。
海外の多くの場合は組織が適切な階層構造になっており、自分の担当外の仕事は全くしないし、してはならない。ジョブディスクリプションに記載された範囲内だけだ。
仕事の命令は直属の上司からの指示だけを受けていれば良く、他の部署とは上司を通じての指示になる。
よってアクセスできる情報が限定されているため、仮にランサムウェアに引っかかっても限定的な情報に限られる方向だ。

日本の場合はピラミッド型である。通常は直属の上司からの命令だが、それより上から命令が下ることも珍しくない。直属の上司が知らない案件を裏でこなしていたりする。
また上位職が上になる程、管理を名目にアクセスができる情報が飛躍的に増える。自身が全く存在を知らず、アクセスの必要が無い情報にもアクセスが可能なことが一般的だ。
そこに詳細な顧客情報があったりする。
そのため上位職の社員へ攻撃する方が効率的なのである。

上位職の社員は50代以上の方が多く、しかも就職した頃はパソコンなんて無くて苦手な方が多い。
そのためランサムウェアに引っかかりやすいし、トラブルがあっても情報システム部門に報告するのはプライドが許さない。よって表面化が遅れる。
情報システム部門としても上長に注意をするのは、風通しが良くないと中々難しい。
評価制度上見て見ぬふりをして、もしもの時に慌ただしく対応する方が評価が高いだろう。
そう考えると攻撃側は、50代の上位職の社員は最適な人材だ。しかも企業によっては人事情報がホームページに公開されているので背景が良くわかる。
但し、役員ともなると秘書が対応していたりするので、この辺の考慮は必要だ。

一般的に情報システム部門は金食い虫と揶揄されてしまう部門だ。
トラブル無く運用するにもスキルが必要なのだが、コストの割には何もアウトプットが無いように見える。そのためトラブルがあったときだけ文句を言われて普段は評価されない。
上層部もそれが理解が出来ないため、予算だけ言ってその範囲内で対応するように言われる。もちろん人件費も削っている。
情報システムの部門長は、セキュリティは非常に大事なものと分かっているにも関わらず、予算内で仕上げなくてはならない。
しかも大抵の会社は、セキュリティに関する高度な知識を持っている人材もいないので、コンサルに頼むのだ。
経営層はコンサルが言ったことは正しいと思う傾向があり、話が早かったりする。

コンサルが普及させたソリューションとして、暗号化ZIPの自動化ソリューションがある。
情報漏洩防止の為にZIPファイルを暗号化して送るなんてことが一般的で、今でも多くの企業が行っているが、こんな事をしているのは日本位のものである。
攻撃側からすると、こんなありがたい機能は無い。
各種セキュリティソフトからするとパスワードがわからず、中にあるファイルを検疫できない。
ZIPファイルの中身でも実行ファイルがあれば問答無用で削除するシステムもあるのだが、暗号化されると全く機能しない。攻撃側からするとユーザーの端末まで無事に届けてくれる、ありがたい機能なのである。

この機能は送信側企業の満足感の為に行われ、実際に被害を被るのは受信側だ。
そしてこのような事をするのは大手企業であり、受信者側は止めてくれとは言えない。
国もPPAPとか言って止めるように言っているし、送信側の情報システム部門も気がついているのだが、一度決済されて運用されてしまうと言い出しにくい。またまたコンサルの力が必要なのである。
コンサルも今更間違いだったとは言えないし、止められるとお金が入らない。
古い技術ということにして、新しい商材を提案している状況だ。おかげでもう一儲けができるのである。

そして情報システム部門そのものも問題だ。
一応Windowsのプログラム実行には管理者権限と、ユーザー権限に分かれていて、適切にセキュリティ設定すればランサムウェアの実行は難しくなる。
実行時に管理者パスワードを求められるからで、パスワードを教えなければ実行できない。
ソフトウェアにも「管理者権限が必要です」と記載があるのが普通なので、やむを得ない感じなのだが、今時のソフトウェアはインストール時は管理者権限が必要でも、利用時は不要だったりする。ただその知見がないのだ。
そのためPC配布時に全PCに対して、管理者権限を付与している状況だ。
またユーザー権限の設定で配布をしてしまうと何かある度にパスワードを求められ、システム部門が大変になるので、対応が面倒なのである。
そのため分かっていても管理者権限を付与しているのが一般的だ。攻撃側からすると、やっぱりありがたい。

一般的に大抵の企業は管理者権限のパスワードは一律の傾向だ。しかもパスワードは全員が共有しているので、簡単な物が多い。ユーザーにはパスワードの複雑性や利用期限などを設定しているが、管理者権限だけは例外なのである。本当は一番複雑性を要求される物にも関わらずである。
これはPCやファイアウォールなど、全ての機器で統一されていて、一つ突破できれば全部が危険になる。ユーザー名は機器によっていろいろあるが、大抵デフォルトが使用されている。Administratorとかrootだとか想像が付く。
パスワードの強度は辞書攻撃で十分対応なレベルだ。会社によっては数分で解析できてしまうだろう。
パスワードを定期的に変えている会社でも、企業名だとかの前か後ろに日付が追加されているだけだ。覚えられないからね。
通常内部からしかアクセスできないところのため昔のセキュリティ概念ままだ。一般社員が簡単には分からないというレベルでしかない。

組織構造の話に戻すと、情報システム部門のデータにアクセスできる上長がランサムウェアに感染すると悲惨だ。
大抵の企業はネットワーク図やパスワードリスト表などの資産管理台帳を保管している。必要が無いのに、上長がここにアクセスできてしまう権限を持っている。
そのEXCELにも念のためパスワードをかけていたりするが、もちろんパスワードは共通なので意味が無い。攻撃リストも容易く手に入れられる。
そんなレベルなのが現実だ。

保守関連もアウトソーシングしているのが一般的だ。そうなると保守会社も管理者パスワードを知っている。というかメインに使用しているのは情報システム部門よりも保守会社じゃないだろうか?
共有しないと保守ができないが、この管理がずさんだったりする。保守会社も含めて誰が知っているのか管理していない。
もちろん適切な管理や運用をすることもできるのだが、コストが非常にかかる。
金額を上げればできるのだが、同じ料金でやらせようとするのが日本的だ。
最近は「そんな料金じゃやってられない!」と断られる会社が普通になってきた。それを知っているので強くは言えない。上は分かってないので追加予算も取れないし。言わない方が何かと良いのだ。
たまに強気に出ると「分かりました」という会社もあるけど、そんな会社はテキトーだ。分かってないから請け負えるのである。
よって曖昧なまま運用されているのが実態だ。

こんな状況なので、本当に50代前後のエンジニアが活躍する舞台がある。
今でも現役の彼らの多くはランサムウェアの防御ができるスキルを持っているだろう。数々のマルウェアの歴史もリアルタイムで経験している世代だ。この世代は少なくともプログラム開発は当たり前に経験しているし、年齢的にも発言に説得力を持たすことができる。
ただ年功序列なため役職が無くてもエンジニアとして指導的な立場だろう。部下のいない担当課長とか担当部長とかそんな役職かも知れないが、一目置いてもらえる立場だ。
そのため大抵は転職などしないし、転職すると年下の上司を持つことになるのを嫌がる傾向にある。
また定年が近いため、リスクを負うような事は控える方が多い。
よって滅多なことでは表に出てこない。
が、実は人材エージェントが探しているターゲットだったりする。

最近、ニュースはならないランサムウェアの被害を噂では良く聞く。実際に企業は公表したり認めていなかったりするのだが、ランサムウェアの攻撃もオーダーメード化されているため、企業のPL/BSなんかを見て、支払えるレベルで要求するようだ。
「うちみたいな中小企業を狙っても」なんて言っている会社が狙われている。価値は攻撃者が決めるのだ。もしも全企業が支払いに応じなければ、ランサムウェアの被害は無くなるだろう。金にならなければメリットが無い。実際は結構な日本企業が秘密裏に応じているようだ。無視した場合の費用と身代金の比較で安い方を選ぶ。会社が潰れるよりマシだ。上場企業の場合は、身代金を払うことは致命的だが、中小企業は別である。内緒で払った方が安いし、そもそも対応できる人材も予算もない。別に公開義務も無いし。
昔は支払っても解除して貰えないこともあったようだが、最近は支払いさえすれば約束を必ず守るようである。なぜかここだけは信用があるらしい。確かに解除して貰えないなら、絶対支払う事は無いからね。
しかも金額設定のノウハウも貯まってきたようで、最近はギリギリを攻めるらしい。状況によっては値下げすることも。。。
経験では無く噂でしか無いので全部嘘かも知れないが、そんな状況の様だ。

残念ながら、今後は今より高度なランサムウェアや新手の攻撃が増えるだろう。
このとき、次の世代はどのように対処するのか老兵世代としてとても気になっている。

コメント