これからさらに被害は拡大する
社長による記者会見が行われた11月27日公開の「サイバー攻撃による情報漏えいに関する調査結果と今後の対応について」という「お知らせ」では、身代金を払う、払わないについては一切触れられていない。仮に支払わないとした場合には191.4万人に上る個人情報が公開される可能性がある。
犯行グループQilinが盗取したとされるアサヒGHのデータの一部が公開されているダークウェブ(アンダーグラウンドサイト)上のブログサイトの表示は12月6日現在、まだ「Publicated(公開済み)」の表示が行われていない。これは推測に過ぎないが、交渉が現在も行われているのかもしれない。漏えいした個人情報を悪用した2次被害も予想されることから、予断は許さない。
被害を拡大させた「単一障害点」の設計
アサヒGHでは、2016年8月にASAHI-CSIRTと名付けられたネットワーク監視組織が設置されているが、今回の状況を見るととても機能したとは思えない。CSIRTとは、Computer Security Incident Response Teamの略で、セキュリティ事故対応チームである。
その役割は、第一義的には、不正アクセスを感知した時に、いかに素早く被害を極所化するかである。ネットワーク監視が有効に機能し、適切な遮断措置が取られていれば、これほどまでに被害は拡大しなかったのではないだろうか。
今回のサイバー攻撃の被害が拡大した要因として、システムに「単一障害点」があったためではないだろうか。「単一障害点(Single Point Failure)」については以前もこの連載内の「【世界的システム障害でも賠償責任はない?】業界に慣行する「利用規約」の罠、日本が取るべき対策」(2024年8月24日掲載)で触れたが、そこに障害が発生するとシステム全体が停止してしまう箇所のことである。
アサヒGHの日本・東アジア事業を統括する中間持株会社であるアサヒグループジャパンが25年3月11日に公開している資料に「日本事業の戦略」がある。その中の「DX戦略データ連携基盤の構築」というページに「システム間のやり取りは全てデータ連携基盤を通じて行う仕組みを構築」とある。仕様から推測すれば、このデータ連携基盤を通じてランサムウェアが全てのシステムに感染したのではないだろうか。
CSIRTの役割として、早い段階でこのデータ連携基盤を停止させていれば、被害を局所化できたはずだ。システム設計を行う上で「単一障害点」を作り出さない工夫が重要であることはいうまでもないが、こうした設計を見逃したシステム担当役員の責任は免れない。また、CSIRTを機能させるには、日頃からシステムの隔離点の調査や様々な停止手段のシミュレーションを行っておくことが重要だ。
