ランサムウェアから社会を守る最も合理的な方法

身代金を要求するランサムウェアWannaCryptが話題です(参考 : ランサムウエア “WannaCrypt” に関する注意喚起)。日本でも被害が出ています。

メール添付されたファイルをダブルクリックすると感染、同一ネットワークにあるWindowsの脆弱性をついて更に感染。多数のメディアでこの広がり方を史上最悪感でもって報じてますが、ネットワーク拡散型は今に始まった訳ではなく昔からありました。CodeRedとかNimdaとか懐かしいですね。

その時分、対策しようね、ということでこんなふうに言われていた訳です。

• 怪しい添付ファイルは開かないようにしましょう
• セキュリティパッチは必ずあてましょう

あれからもうすぐ20年。また同じことを繰り返しています。

WannaCryptはやはり日本でも被害を見せて、案の定、日立のように大手企業で感染例が発表されました。そして総務省もIPAもまた同じことを言ってます。

• 怪しい添付ファイルは開かないようにしましょう
• セキュリティパッチは必ずあてましょう

20年同じことを言い続けてて 全く進歩してない と思うのは僕だけでしょうか。

(Thanks! the photo on flickr by medithIT CC BY 2.0)

1425%

この数字は(一部には)有名なランサムウェアのROI(投資利益率)です。(参考 : Cybercrime Can Give Attackers 1,425% Return on Investment )

つまりランサムウェアを作りばらまく活動に使ったお金は何倍もの利益になって返ってくるってこと。今や攻撃とはイタズラではなく立派なビジネスです。1400%の利益率を誇るビジネスを止めるなんて誰にもできやしません。明日も、明後日も、来週も、来月も、来年も、5年後も10年後も、添付ファイルをダブルクリックしてしまって被害にあい、業務は止まり、個人情報は漏洩し、国家機密も漏洩し、大事なファイルは意図せず暗号化され、身代金を要求され続けるでしょう。

それだけではありません。

流行りのIoT時代はあらゆるものをネットに繋ぎますから、そのうち誰かが誤って添付ファイルをダブルクリックしたら人が命を落としてしまった…そんなことが起こるのも時間の問題でしょう。データを復旧する為の身代金ではなく、命をお金で買えという意味の正真正銘のランサムウェアが間違いなく出てきます。ランサムウェアではなくキルウェアでしょうか、言うなれば。

そして史上最悪の事故だとまたメディアは報じ、行政も専門家もなんちゃら協会も口を揃えて同じことを繰り返すのでしょう。

• 怪しい添付ファイルは開かないようにしましょう
• セキュリティパッチは必ずあてましょう

容易に想像がつきますね。この運用は、ゼロデイ攻撃には無力だし、未知の攻撃にも我々は無力だし、そんなことは分かっていて攻撃の手はますます強まるばかりなのに、我々はいつまで同じ闘い方をするのでしょうか。

危機感が無さ過ぎだと感じざるを得ません。

• 怪しい添付ファイルは開かないようにしましょう
• セキュリティパッチは必ずあてましょう

を啓蒙するのは「失策」だったといい加減に認めるべきです。添付に注意しよう、パッチを当てよう、とりあえずそう言っておくことで自分は忠告したからねという逃げ口上にしてしまってはいけません。20年間ずーーーーーっと同じことをやってきたセキュリティ業界は、未だに根絶できていないことを業界として心から恥じるべきだと思います。またリテラシの低い人がやっちゃったよ…じゃなくて。攻撃者の手は緩みません注意しましょう！でもないです。

今回、WannaCry は即効で無効化する策が発見されました。(参考 : 「WannaCry」から世界を救った青年に聞いた - グノシー) でも、すぐに亜種が出ています。(参考 : ランサムウェア「WannaCry」、キルスイッチをなくした亜種「Uiwix」が登場 - CNET Japan)

• 怪しい添付ファイルは開かないようにしましょう
• セキュリティパッチは必ずあてましょう

が徹底できるスピード感ではもはや無い訳です。このスピード感は今回にはじまった話ではないですが。そろそろ真剣に闘い方を変えませんか。無理ですよ、もう。何年同じことを言い続けて、何回同じような事態に陥ってるんですかって話です。国も企業も真剣に考え直した方が良いと思います。

僕は、危機が急増する情勢下で危機回避の為に「不完全な人間に、完全な運用を期待する」というやり方を平然と勧められる姿勢が全く理解できません。専門家の姿勢として間違ってると思います。

勿論、意識すべき専門家は意識すべきですが、そうでない人にはそんなこと気にしなくても安全が担保できる仕組みを作るのがプロの仕事 なんじゃないですかね。セキュリティの専門家は、メール添付がなくても業務が回る仕組みを御客様に提案・支援していくべきだったのではないでしょうか、この20年間。

USBなど外部ストレージは禁止している企業が多い(そして禁止しても仕事は回る)ですので、今の諸悪の根源はやはりメールの添付ファイルです。そこを絶たないといけません。

 

メール添付ファイルがなくても仕事は回る

ランサムウェアはじめウィルスとの無駄な不毛な闘いをやめる為、 メール添付ファイルの使用を国として原則禁止 とすべきだと思います。超極論ですけど。

今回の WannaCry には北朝鮮が絡んでいるとも言われてます。(参考 : WannaCryランサムウェアから北朝鮮ハッカーのコード見つかる。断定は時期尚早も、背景には国家的な関与？) 制裁で外貨獲得の道が無くなってきた国の苦肉の策なのかも知れません。国と国との闘いですよ、まだ断定はできないでしょうけど。でも、国民や国内企業の重要な資産や情報が、お隣から国レベルで脅かされているとしたら、これに国としてどう対峙すべきなんでしょうか。

• 怪しい添付ファイルは開かないようにしましょう
• セキュリティパッチは必ずあてましょう

で良いんですかね。ホント真剣に考えるべきじゃないでしょうか。

メールの添付がこの国からなくなれば、どれほどの時間とお金が節約できることか。今の国内の情報セキュリティインシデントの多くはメール添付ファイルを原則無くすことで根絶できます。(あとはWebに対する攻撃ですが、これはこれでまた長くなるので省略)

いきなりのメール添付ファイル禁止論は現実的ではないですが、徐々になら変えていけます。企業や行政が段階的に取り組んでいけばいいのです。例えばウチではこんなふうに運用してます。

1. メール送信にファイルを添付するのは原則禁止
2. GMailを使い高精度なフィルタリングを行う
3. 社内はWindows原則禁止
4. ウィルス対策ソフトのインストール必須

3 はまぁ極端中の極端な施策なので置いとくにしても、1,2,4を全ての企業や行政が徹底するだけで状況は変わりますよ。あるいは行政や大手企業がリスクマネジメントの施策として、積極的に取引先を巻き込んで半ば強要しても良い。

そうすれば数年のうちに全企業・全行政が、デフォルトでメールサーバの受信メール添付ファイルを削除する設定にしても業務が回る社会になる筈です。そんな社会にならないかなぁ〜と非力ながら貢献できればと思ってウチは 1. を徹底しつつ、身を守ると為に2,3,4も徹底してます。

メール添付ホントに必要でしょうか。

メールよりはるかに安全にファイルを渡す方法は他に幾らでもある訳です。ウチの場合は昨年事業売却したSYNCNELというファイル共有サービスの機能を使って、ファイル送信をしてます。宅ふぁいる便の企業版みたいな機能ですね。まだウチの事業だった時に追加してた機能です。

SYNCNELは今は富士ソフトさんの事業なので、これを宣伝したからウチがどうこう…というのは特に無いのですが、富士ソフトさんのある部門ではメール送信時の添付はやめてこの機能を多用しておられるのだとか。

もちろん他にも色々あります。例えば、請求書作成・見積書発行とかでファイルやりとりが多い企業であれば、ヴェルクさんの board とかにも似た機能がありますね。取引先が利用されてます。

(boardを使っている会社から送られてきた請求書。PDFがダウンロードできる。期限+パスワード付き)

IIJさんとかは早くから似たサービスお持ちです。(IIJ DOX) IIJさん、さすがですよね。僕は今まで添付ファイルでやりとりをしたことがありません。

もちろん国産ばかりでなく、有名なDropboxにもOneDriveにもファイルを渡す機能はある訳です。あるいは今はやりのビジネスチャットで繋がってファイルを送っても良いですよね。SlackとかdirectとかChatworkとか色々あります。

メールよりはるかに安全にファイルを送る手段は溢れている訳です。相手が同じサービスを使ってなくてもファイルを渡せる手段を搭載したサービスも多数ある。それらを使うことが強制される力学が少しでも働き始めれば、数年後メール添付なんて不要にできる筈です。

メールの添付ファイルは全て「悪」

その前提で業務を回せたらどれだけ良いか。そしてそれは今の時代、まったく不可能ではありませんし非現実的でもないと思います。メール添付をトリガに業務に支障をきたすなら、守るべきものが守れなくなるなら、そしてメール添付に代替するものが十分にあるのなら、その廃絶を真剣に考えても良いんじゃないいでしょうか。

ランサムウェアなんぞに、その対策なんぞに、企業が貴重な時間やお金を費やす必要なんてありません。もっと売り上げ増や顧客価値創造といった本質的なことにリソースを費やすべきです。

 

2025年◯月✕日
「今回の新型ウィルスの被害、世界で蔓延していますが日本では被害ゼロだそうですよ。」
「添付ファイルってもう誰も使わなくなりましたもんね。」

と、数年後には1行ニュースで報道が終わらせられるようになってると良いなと思います。それは無理、とある人に先日言われましたが、逆にそれこそビジネスチャンスじゃないかな〜と僕は思ったりしますけどね。余談ですけども。

また長くなりました。

メールの添付ファイルはホントに諸悪の根源です。百害あって一利なしです。今はまだ取引先の多くでやはりメールにファイル添付されてる方が圧倒的に多いので声を大にして言い難いというのはありますけど、でもやはり将来のことを考えれば全ての企業や行政はメール添付は段階的にでも良いのでやめていくべきだと思います。

 

事例(追記)

facebookで知人に教えて頂きました。大手さんで、添付メール廃絶しているところが既にあるようですね。(勉強不足…orz)

• 富士通様 → 参考 : メールから添付ファイルがなくなる?! 富士通とBOX社が実現するセキュアなコンテンツ管理とは?

賞賛されるべき取り組みだと思います。他にも事例がありましたら教えて頂けると嬉しいです。こちらのエントリに追記してみようと思います m(__)m