経営者向けGarmin Connectのサイバーアタックに見る経営とセキュリティ

何が起きたの?

2020年7月23日からスマートウォッチ、GPS機のリーダであるGarmin社のインターネット経由のサービスがダウンしました。影響のあったサービスのGarmin Connect、Garmin Pilotおよびコールセンター、電話、オンラインチャット、eメールが利用できなくなりました。
特にGarmin Connectはスマートウォッチと連動するインターネット経由で利用するアプリケーションです。スマートウォッチの購入者はこのアプリケーションがなければ買ったものが使い物にならない状態に陥っています。

Garmin社はどう対処しているの?原因は?

2020年7月27日にGarmin社は今回のサービスダウンはサイバー攻撃によるものであったと認めています。現時点でサービスの復旧中で、順次サービスの再稼働を目指しているということで、本記事の7月28日時点でも一部サービスが限定的な利用になっています。

このアナウンスでは具体的にどのようなサイバー攻撃を受けたかという報告はありません。事前のリーク情報で「WastedLocker」というランサムウェアの影響を受けたと様々なニュースサイトで報告されています。ランサムウェアとは感染されたPCもしくはサーバのデータがマルウェアにより暗号化され、その暗号化されたデータを解除するために金銭を要求されるという極めて悪質な攻撃です。結果的に企業活動やサービスを行うデータが利用できなくなり、ビジネスに大きな影響を与えます。

つまり、企業にとって重要な事業を人質にとり身代金を要求されるということですが、今回の犯罪者グループは今回は10億ドル(約1100億円)を要求したと言われています。このグループはロシアのハッカーグループである「Evil Corp.」と言われており、彼らはバンキングマルウェアの「Dridex」などを利用して多額の現金を盗み出しています。米財務省の U.S. Treasury Department’はEvil Corp.との一切の取引を禁止しています。

Garmin社は先のアナウンスにあるようにデータの復旧を行っているということですが、これが、ハッカー集団に身代金を支払って暗号化を解いてもらっているのか、あるいはバックアップシステムやデータは無事でそれをもとに復旧させているのか不明です。前述の記事が本当であったとしても財務省が一切の取引を禁止している以上、公にすることはないと思われますが、客観的に23日から本日時点で5日経っているでしょうから、復旧に5日もかかるとは考えらず、なんらかの非常な判断をおこなったと容易に想定されます。

Garmin社のページより引用

被害状況とGarmin社の見解

Garmin社のページより引用

先のアナウンスによるとすべてのサービスで持っていたデータは影響は受けず個人情報の漏洩や盗まれることもなくGarminPayという支払いサービスも影響を受けていない。特に今後のGarmin社の財務状況には一切の影響を与えないとしています。

ただ、今回の事故によりいくつかの点が明らかになったかと思います。

1.Garmin社のシステムはサイバー対策を十分に行っていない脆弱なインフラである。
2.データの復旧等に時間がかかりすぎる。BCP対策が行われていない可能性がある。
3.サービス停止に伴うビジネスの影響へのコメントが短絡的で十分な分析がされていないか経営層が真剣に考えていない可能性がある。

利用者はどのように感じるか?

この記事を書いている私自身もGarminユーザですが、以下のような不信感により他社のSunnto社のスマートウォッチを検討始めました。

1.サービス停止は利用者にとって重要なコンテンツでしたが、当のGarmin社がその重要性を理解していない。(と感じる)
2.クラウドに蓄積されている個人情報の取り扱いに対する不信感。
3.Garmin Payなどの支払いシステムをリリースしているが信頼性に疑問が出てくる。

ビジネスの影響は本当にないのか?

以上を踏まえてシンプルに考えてビジネス的には以下の影響が出ると考えられます。

 ■製品の信頼性、ブランディングの低下による売り上げの低下
 ■顧客ロイアリティの低下による競争力の低下と売り上げの低下
 ■企業価値の低下による株価低下、資金調達力の低下

ではどうすればよいのか?

あくまで最近のサイバー攻撃などの脅威に対する弊社としての客観的な意見ですが、サイバーセキュリティの専門家およびコンサルティングとして携わっている中、何点か思うところを、今回の件の経営という視点で挙げてみます。

 ■十分なセキュリティ対策への予算=事業への投資
  ここ5年程の間にサイバー攻撃の被害の質が変わってきました。これは企業におけるITが単なる便利ツール(コスト)から自社製品サービスの利益を生み出す事業を支える重要なものに変わってきています。サイバー攻撃を行う犯罪者集団もお金があるところを狙うために事業自体を狙った攻撃に移行しつつあります。そのためセキュリティ対策は便利ツールを守るためのものから事業を守るためのものに目的が変えなければなりません。
 現在の売り上げを維持、伸ばすためにサイバーサイバーセキュリティ対策に十分な予算をつけることが必要になります。つまり単にIT予算からセキュリティ対策費用を捻出するのではなく、事業用のインフラとして投資するという認識に変える必要があります。

 ■犯罪集団はプロ集団。自社のセキュリティ対策が万全か常に棚卸と改善を繰り返す。そして外部専門家のチェック機能を持つ。
  犯罪者集団はプロ集団です。自社のセキュリティ担当者の能力がいくら高いといっても過剰な自身や属人的な経験や狭い視野での対策は禁物です。いままで私の経験上起きなかったら起きないはずだ。とか、そんなことできるはずがない。と自身の技術力の視野だけで対策のレベルを決めつけてしまう担当者は非常に多いです。ITのツールの延長線上から事業の利益を生み出すシステムに移行していますが、単にシステム開発部門の担当SEの技量のセキュリティ対策を委ねてしまっている危険な状態は避けるべきです。技術力がある担当者も経営層が予算をつけるはずがないと勝手に経営判断をしてあきらめることもよく散見されます。経営者が必ず、経営判断を行えるよう、ITと事業部門を横断できるセキュリティマネージメントオフィスの創設と即決PDCAサイクル、セキュリティ対策の外部のチェックなど外部専門家チェックが必要になっています。

 ■リモートワークによる環境変化への対応
  ネットワークやセキュリティ対策は生き物である。と言われます。そのサイクルはドッグイヤーと言われ日々変化していきます。今回、コロナ禍で企業におけるシステム環境も変わりつつあります。今回のサイバー攻撃の初期の感染はどのような端末だったのか明らかになっていませんが、2017年のWannacryの時にも同様にどこから、いつものまにか社内ネットワークに入り込んだのかわからない、という状態かもしれません。リモートアクセスの拡充という単なるコロナ禍対策を行ったことが実は企業ITインフラ全体像に歪みを与え、犯罪者集団にスキを与えてしまっているかもしれないと、気づかなければなりません。開発環境、製品サービス、OA系ITのクラウド化、企業イントラネット、データセンター、いままでのアーキテクチャを変化に追随させたインフラに移行していく必要に迫られています。

(最後に)ランサムウェアはそんなに怖いの?

ランサムウェアは年々進化して2017年に発生をしたWannacryで劇的な進化を遂げました。感染した端末が次々とほかの端末に感染を広げていきます。最近の端末はHotSpot、自宅、デザリングなど様々な利用スタイル、シーンがあります。また、IoT機器など、インターネットにつながっていなくともIP通信可能で汎用OSが搭載された機器が多数存在します。そういった環境をねらって、内部感染を狙い、一度侵入した後、横移動もしくは横感染を連鎖的に行っていき、事業の根幹となるシステムに侵入してサービス停止に追い込む。そういった進化したランサムウェアが極めて脅威になっています。
今回、被疑の「WastedLocker」も横移動を行うランサムウェアで結果的にネットワークに感染が広がり、サービスの根幹、ビジネスの継続の根幹となるサーバまで浸食したと想定されます。
詳しい「WastedLocker」の分析はまた次回記事にて行っていきます。