平成十七年(2005年)九月二十日に開始したブログの累計記事が現在10,677通目です。
!!!緊急提言!!!
弊社の使っているOSがアップルのMacairなので、気付くのが遅れて大変申し訳ございません。令和七年(2025年)十月十四日を持ってWindows10のサポートが終了します。それに伴い、すぐにできることを申し上げます。まだ色々なところに影響があるのですが、まず、これをやってください。その他の項目は明日からこのブログにて報告します(1〜2回/日)。穿った見方をすればこの前のアサヒGHDの事件は、日本のサプラーチェーンを破壊するために予行演習だとも考えることができます。くれぐれも確証バイアスや正常性バイアスに陥らないようにしてください。
今日のカンテレの朝のニュースで同様のニュースがありました。「天変地異みたいな感じで」三年前にランサムウエア被害にあった病院。AI攻撃検知・同期停止。
「大阪急性期・総合医療センターは3年前、給食業者のサーバーを通じて被害に遭いました。朝出勤したら、外来の受付周りがわさわさしていて、『大変です!ランサムウエアにあったみたいです!』と。まさか我々がとの思いで、このメッセージを見ながら途方にくれていた。バソコン画面には『システムを暗号化した』と書かれた文章。そして『復元のためにはビットコインで支払ってください。金額はあなたがどれだけ早く我々にメールを送るかによって変わります』。この影響により病院では電子カルテが使えなくなり、入院患者の個人情報や緊急を要しない手術については取りやめざるを得なくなり、窓口でも混乱が起きました。身代金を払わずにシステムを普及させることを決めた病院。感染の恐れがあるパソコン2,200台を初期化した上、バックアップデータを使ってシステムを普及させ、通常の診療体制に戻るまでに3ヶ月かかりました。
収入だけで22億円ぐらいの被害です。本当にもう天変地異みたいな感で大混乱でしたね」(土いう医療センター統括マネジャー」。
この3ヶ月を何日にするかがIT-BCPの絶対価値RTO(目標復旧時間)なのです。
では、十四日つまり明日までに終わらせなければならない対策を書きます。
❶対利害関係者:取引先等
1)全てのWindowsユーザー取引先の10から11へのアップグレード情報を把握(聞く)
2)アップグレード終了先なら、まず下記❷社内を実行してもらう
3)アップグレード未対応
・未修正の脆弱性が放置され、それを狙ったランサムウェアやマルウェア攻撃に対する防御手段が事実上なくなります。
・中小製造業など、システム更改が遅れている取引先(脆弱なポイント)がサイバー攻撃の「踏み台」となり貴社を含む大企業への侵入経路に利用される危険性が極めて高まります。
・ESUの適用:Windows 10を継続利用する取引先に対し、有償の「拡張セキュリティ更新プログラム(ESU)」の適用を強く要求し、期限付きのセキュリティパッチ適用を義務付ける。その後は❷社内通り。
❷社内
・脆弱な取引先からのメール添付ファイルの受領を原則禁止する。データのやり取りは、セキュリティが確保されたファイル転送サービスなど、別のセキュアな経路に切り替える。
・取引先から受け取ったデータは、貴社の中核ネットワークから隔離された環境で、読み取り専用として確認することを徹底し、マルウェアの感染拡大リスクを防ぐ。
・すべての外部アクセス(VPN、クラウドサービスなど)に多要素認証(MFA)を必須とし、アクセス権限を最小限に絞り込む(ゼロトラスト原則)。
・facebookの相手への送付機能等もお控えください。
【宝徳からお願いとアドバイス:再掲】
・専門用語が多いですが、不明な点があればお電話ください。何時でも結構です。
090069321653
・SMS(ショートメールは送らないでください)
・メールも送らないでください。(弊社はマックエアなのでマイクロソフトリスクはありませんが2次感染を防ぐため)
・もしファイルを送るならセキュリティが確保されたファイル転送サービスでPDFで送付してください。
・もしくは郵便で送ってください。
・ラインでへの添付も控えてください。
(上記は弊社も守ります。10月15日以降)
(10月10日のブログ記事「アサヒGHD2弾」:再掲)
4.宝徳所管
❶確証バイアス(自分の信じていることや、立てた仮説を支持する情報ばかりに注目し、それとは反する情報を軽視・無視する心理的な傾向)、正常性バイアス(異常な状況下でも「これは正常の範囲内だ」「自分は大丈夫だ」と判断してしまう心理現象)に陥らないでください。
❷攻撃社の7〜8割は、脆弱で監視が甘い中小企業を狙い、そこを踏み台にして大企業に侵入しています。
❸BCPは組織開発のプログラムです。目的は「有事の即応・平時の緊張」です。今回のアサヒHDの場合はほんの1通のメールからランサムウエア攻撃にさらされています。これは「平時の緊張」がBCPの目的になっていなかった証拠です。ただBCPを作るだけならお金の無駄だからやめてください。
❹医療関係の皆様へ。医療業界の構図からクリニック→大企業というランサムウエア侵入が広がっています。要注意です。医療用IT-BCPプログラムな開発済みです。いつでもお声がけを。
❺石油製品販売業界の皆様へ。元売から始まるサプラーチェーンはとても強固で災害用BCPにはすごい力を発揮します。しかしながら、IT-BCPのおいては脆弱です。もし石油元売にランサムウエアに入られたら、売上が高い石油製品販売業が一番被害を受けます。元売サプライチェーンが一気に崩れるからです。元売はBCPは作っているでしょうが、それを今回のアサヒHDのように運用はしていない可能性が高いです。石油業界用IT-BCPも開発済みですが一部元売との協働対策が必要です。
❻中小製造業・建設業等の技術業の皆様へ。IT化が遅れている業界でもあります。ただし、人手不足の現状に鑑みると、業務効率化・人材育成・生産性向上は喫緊の課題です。その際に同時にサイバーセキュリティも講じてください。おそらく医療業界と同じ現象が起きると思います。もし、技術のIT化が進んでいる企業は、日本中小企業の命である差別化された技術が全部使えなくなる可能性があります。一連の経営革新を一緒にやりませんか?
❼業界共通。今回のアサヒHD事件のように、自社がそのサプライチェーンに巻き込まれた時の対応もBCPに入れてください。
❽定期的に演習(BCM:事業継続マネジメント)を行う(机上演習・中規模演習・大規模演習:関係者も入れて。関係者:ITシステム提供者・警視庁・サプライチェーン利害関係者等)
❾各種BCPの絶対的価値観はRTOだということを経営者が強く認識する。できたらいいな目標ではなく。絶対な目標であることを。これが防災との違い。防災計画で終わらないでください。特に行政でRTOがあるところを知ってい限りではみたことがありません。
❿IT-BCPこそ組織開発のプログラムです。目的は全従業員の「有事の即応、平時の緊張」です。以上
コメントする