デンマークに本拠を置く海運コングロマリット「AP Moller-Maersk」が 2017年11月7日に行った第3四半期の決算説明の席上において、同社の役員は通常通り、世界最大の海運会社「Maersk Line」の事業に関するいくつかのトピックを取り上げました。

CEO(最高経営責任者)のSoren Skou氏は、コンテナ輸送に関する需要が拡大している点に言及し、一方、CFO(最高財務責任者)のJakob Stausholm氏は、第3四半期における大型の設備投資について説明を行い、新たに5隻の船舶を受け入れたことに触れました。

しかし一方で、両者はともに、通常であれば海運業の決算報告では話題にしないトピックについても取り上げました。 6 月に発生した「NotPetya」によるサイバー攻撃です。Maerskはマルウェアに感染し、 数週間にわたりコンピュータがオフラインになってしまい、顧客とコミュニケーションを取る手段も失われました。そして最終的に、「NotPetya」は、同社の事業や収益に影響を及ぼすことになります。通常なら事業業績が話題になるはずが、CEO、CFOクラスの役員がサイバーセキュリティについて触れた理由はそこにあります。

サイバーセキュリティの問題は今や収益上の問題

AP Moller-Maersk社にとって、「NotPetya」は、サイバーセキュリティの問題にとどまらず、収益上の問題となっています。この攻撃で、第3四半期における同社の収益には、2億5,000万ドルから3億ドルの損失が生じていると、Skou CEOはアナリストに語っています。そして、損失の多くは、 7月、8月に失ったビジネスに起因すると付け加えました。

「第3四半期の業績はサイバー攻撃の影響を大きく受けました。影響は、取引量の減少というカタチで現れました。攻撃を受けた初期の時点で、顧客から予約のいくつかを取り消されてしまったのです」とチーフコマーシャルオフィサーのVincent Clerc氏は述べています。

そして、「NotPetya」が AP Moller-Maersk社の財務面に及ぼした影響は第3四半期の業績だけにとどまりませんでした。 Skou CEOが語ったところによれば、同社は通年の利益予想を下方修正するとしており、その理由として、「攻撃を受けた後にサービスと信頼性を回復するためのコストが増加」している点を挙げています。本会計年度の総収益は10億ドルを超えず、10億ドル「程度」になる見通しであると、Skou CEOは述べています。ただし、具体的な数字は挙げていません。

COO(最高執行責任者)のSoren Toft氏は次のように述べています。「第3四半期における当社の事業は、サイバー攻撃の影響を大きく受けました。もはや、過去においてお客様に提供できていた事柄に満足できないのは確かです。今はネットワークの信頼性回復に向け、全力を尽くしています」

NotPetya の影響により、企業全体で 12 億ドルの損失が発生

NotPetyaによって収益に影響を受けている企業は AP Moller-Maersk社だけではありません。NotPetya に感染した多くの組織で、攻撃を受けた結果、収益に損失が生じています。四半期ベースの損益計算書や投資家の発言から得られたデータをもとに「Cybereason」が試算した結果によれば、四半期、通年の収益を合算した数字でみると、「NotPetya」の影響でこれまでのところ、12億ドルの損失が企業に発生しています。

決算報告で役員が NotPetya に言及した企業には、AP Moller-Maersk社以外に、FedEx社(子会社のTNTで四半期の収益に3億ドルの損失)、ソフトウェアベンダーのNuance Communications社(四半期の収益に1,540億ドルの損失)、Mondelez International社(四半期の収益に1億5,000万ドルの損失)、一般消費者向け商品を扱う英国の Reckitt Benckiser社(通年の収益で1億2,900億ドルの損失が発生する見込み)などがあります。AP Moller-Maersk社では8月の時点で投資家に、NotPetya の影響で第3四半期の収益に2億から3億ドルの損失が発生するとの警告を発していましたが、Cybereason ではこの損失額を2億7,500万ドルとみています。

「NotPetya」の攻撃による被害総額を12億ドルと算出したその詳しい計算方法については、こちらの分析(英語)をご覧ください。

NotPetyaは他のサイバー攻撃と何が異なり、なぜ、より危険であるのか

攻撃により生じた損失を示して、被害に遭った企業を貶めたり、困らせたりすることがここでの目的ではありません。代わりに説明したいのは、次の点です。すなわち、NotPetya のような破壊力の凄まじい非標的型の攻撃はあらゆる組織に深刻な被害をもたらす危険性を秘めており、そして、このようなサイバーセキュリティの問題は、企業の収益に打撃を与えるおそれがあります。

サイバー攻撃の影響で長期間システムがオフラインになった企業では、最終的に収益に損失が出ています。例えば、小売チェーンのHome Depot社は、2013年に発生したデータ侵害で2億9,100万ドルの損失を被り、また、2014年のデータ侵害では2億6,300万ドルの損失を計上しています。しかしこれらはどれも、標的型の攻撃でした。攻撃者は、標的とする企業を具体的に選び出していたのです。

これに対し「NotPetya」は、特定の被害者を想定していない非標的型の攻撃でした。影響受けた企業の多くは、会計アプリケーションで定期的に行うアップデートのダウンロードを実行した後に「NotPetya」に感染しました。あろうことか、攻撃者は、このアップデートに「NotPetya」を仕込んでいたのです。手の込んだソーシャルエンジニアリングの手口が使われたわけでもなければ、中間者攻撃が行われたわけでもありません。企業や従業員が日常的に行う定常作業、すなわち、正規のソフトウェアアップデートが実行されただけです。

しかも、「NotPetya」と同様の脅威は他にも存在します。

「NotPetya」のような強力な破壊力をもつサイバー攻撃は過去20年間でその数が増え、特異性が増しています。他の攻撃とは異なり、これらのサイバー攻撃は、データや IT 資産の破壊をその目的としています。そして、攻撃の及ぼすダメージのレベルが大きいわりに、高度な手法は使っていません。攻撃者が代わりに利用しているのは、どちらかといえば巧妙さの欠けた、それでいて非常に高い効果を期待できる、コーディングや実行が容易なツールです。その1つが「NotPetya」です。当初のレポートでは、「NotPetya」はランサムウェアに分類されていましたが、その後、このプログラムの動作は、非常に基本的なテクニックであるブートレコードワイパーにずっと近いことが判明しています。

そもそも、サイバーインシデントの大多数は、諜報活動や犯罪行為を動機として行われるものですが、それでもやはり、破壊力の大きなツールの使用が増加している状況は憂慮すべきものがあり、しかもその傾向は強まるばかりです。企業は、このような事態の進展がセキュリティのあり方に及ぼす影響を無視することはできません。「NotPetya」のような破壊力のある攻撃の影響を受けて収益に損失が生じた結果、情報セキュリティに関する出来事が最高責任者レベルの役員にまでエスカレーションされるようになりました。これら役員は決算報告で、今後もセキュリティの問題を取り上げることになるでしょう。

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/white-paper/606/

ホワイトペーパー「すべての組織が狙われている」