企業が業務データを損失する事件が目立つようになった。2012年8月には、PCのファイルを消去して起動できなくするウイルスが標的型攻撃で利用されている。データを暗号化して金銭を要求するウイルスも既に存在する。企業は、事業の生命線であるデータを見極めて、より厳格な対策を行う必要がある。
今回発見されたウイルスはエネルギー業界の特定の組織を対象にした標的型攻撃で利用された。セキュリティ対策ベンダーによって名称は異なるが「Shamoon」あるいは、「Disttrack」と呼ばれている。感染すると、PCのファイルが上書き消去され、さらにPCが起動できなくなる。
「ランサムウエア」あるいは「スケアウエア」というウイルスがあることも知られるようになっている。ランサムは「身代金」、スケアは「怖がらせる」という意味だ。PCなどのデータを勝手に暗号化し、金銭を求める。データを人質にして身代金を要求するわけだ。海外ではよく見つかっているが、日本国内でも発見されるようになってきた。
日本では情報セキュリティというと、データの漏洩を防ぐ「機密性(Confidential)」のみに注意が払われるが、より厳格にはデータの無改ざんや正しく機能することを保証する「完全性(Integrity)」、必要なときにサービスを受けられる「可用性(Availability)」を含めた三つが担保される必要がある(頭文字をとって、「C.I.A」と呼ばれる)。データを改ざん・消去によって失えば、データ漏洩と同等か、それ以上に深刻な影響が出る。
サイバー攻撃ではないが、6月に発生したファーストサーバの大規模障害で、データ損失による企業経営への影響の大きさを認識した人も多いのではなかろうか。
企業経営の三要素はこれまで「ヒト、モノ、カネ」と言われていた。このうち「モノ」の大部分は今や「デジタルデータ」が占めている。取引記録、顧客名簿のほか、設計・製造・保守など多くの業務の文書はデジタルデータとして存在している。これらデータを損失したときの経営への影響度は、以前とは比べ物にならない。
