情報公開型恐喝へのシフト
ロックスター・ゲームスのデータ流出では、攻撃者が「身代金未払い」を理由に窃取データの公開へ踏み切ったとされる。ここで重要なのは、暗号化で業務停止に追い込む従来型だけでなく、盗んだ情報を公開すると脅す恐喝が主戦場になっている点である。バックアップで復旧できても、機密性の侵害は残り続ける。情シスは可用性対策に加え、持ち出しと公開を前提に備える必要がある。
「払う・払わない」で終わらない意思決定
身代金を支払わない方針は合理的だが、短期的に公開・拡散が進むリスクは織り込むべきである。一方、支払ってもデータ削除を検証できず、追加要求や再攻撃の呼び水にもなり得る。実務では二択に矮小化せず、法務・広報・セキュリティ・経営が統合した判断手順を整備することが要だ。同時に、支払い有無に関係なく封じ込め、調査、通知の準備を並走させる。
初期侵入の定番と狙われる弱点
同種事案で多い入口は、認証情報の窃取や使い回し、MFA迂回、VPN/リモート管理基盤の不備、委託先経由である。大手でも「最も弱い入口」を突かれるため、IDと権限設計、外部公開資産の棚卸し、ログ監視の成熟度が被害規模を左右する。特権IDの常用や権限過多は、横展開と持ち出しを加速させる。まず入口と権限の現実を点検すべきである。
情シスが優先すべき対策と初動準備
優先度が高いのは、フィッシング耐性MFAの適用拡大、条件付きアクセス、特権IDの分離とJIT付与である。次に、機密情報の所在と分類、クラウド共有設定の定期監査、異常な大量ダウンロードや圧縮・外部送信の検知など、出口対策を強化する。さらにEDR/XDRと認証・クラウド・DNS等のログ統合で早期検知し、ネットワーク分離で横展開を抑える。バックアップはイミュータブル化と復旧訓練まで含め、初動では証拠保全、対外説明の雛形、規制・契約に沿った報告判断を平時から整備しておくことが肝要である。