コラムカテゴリー:内部統制
2013年3月20日、午後2時、韓国でKBSやMBC、YTNといったテレビ局と、新韓銀行や済州銀行、農協銀行などが北朝鮮からと疑われるサイバー攻撃を受け、約4万8700台のコンピュータとサーバに影響が出たというニュースはみなさんの記憶に新しいのではないでしょうか。
今回の攻撃では銀行業務に一時停止などの影響がでましたが、勘定系システムのデータ改ざんは行われなかったため、出金停止などの影響は最小限にとどめられた模様です。また、テレビ局では放送中止といった事態も回避できました。
なぜ、テレビ局や銀行といったセキュリティ対策が万全と思われる企業で今回のような事態が起こったのでしょうか?報告によると今回の事態は「不正規のライセンスの利用」が原因のようです。
攻撃を受けた企業のサーバは、不正規のWindowsライセンスを利用していました。セキュリティパッチを管理するWSUS(Windows Server Update Services) は、ライセンスが不正規であったため、最新のセキュリティパッチをダウンロードしませんでした。そこで、今回被害を受けた非正規ライセンス使用企業では、マイクロソフト非公式のサイトから、代替のセキュリティパッチをダウンロードするという運用を行っていました。
この非公式サイトからダウンロードしてきたセキュリティパッチにウイルスが仕込まれており、WSUSサーバを通じて社内のサーバやコンピュータにウイルスがばら撒かれ、3月20日を迎えました。
一昔前の韓国では海賊版(不正規)のOSの利用が一般的でしたが、10年ほど前のウイルス騒動を契機として正規版OSの利用がなされるようになってきました。今回のサイバー攻撃では未だ正規版を使用していないマシンがターゲットとなってしまいました。正規版を使用していれば防げた事象であり、国を代表するような企業が不正規のライセンスを使用しているとは、企業体質、コンプライアンス状況に疑問を持つのではないでしょうか。
「人の振り見て、我が振り直せ」という格言があるように、どうか今一度社内で不正なライセンスが使用されていないか棚卸をしてみてください。
最近では、ソフトウェアをインストールするにあたり、インターネット経由でのアクティベーションを要する方式の他、様々な不正利用防止技術が発達してきており、以前と比較して不正ライセンスを利用することは困難になってきています。しかし、管理者権限を持つ社員の独断によってソフトウェアインストールが行われるというリスクは以前のまま存在しますので、棚卸は不正ライセンス発見に有効であると言えます。
棚卸で大切なことは、1回の棚卸で大丈夫と満足するのではなく、定期的に行うことが重要です。特にクライアントPCの棚卸のタイミングとしては、4月、10月など人事異動が発生する前後で実施することをお勧めします。棚卸により不正規ライセンス、余剰ライセンス、不足ライセンスの発見につながり、コンプライアンス面だけでなく、ファイナンス面のメリットが生じることもあります。
サイバー攻撃、ウイルス感染を受けなかったとしても、不正規ライセンスの使用により、計り知れなく大きな社会的、経済的ペナルティを受ける結果となります。より一層コンプライアンスの遵守が求められる今、ライセンス管理・利用に関する企業に対する社会の要請は厳しくなってきています。
システム担当者不足や管理するライセンスの数が多いなどの制約があるかもしれませんが、情報処理システムを使用している企業は、社員数の大小に関係なくライセンス管理を適切に行うよう検討・実施する必要があります。
関連サービス
2013年03月30日 (土)
青山システムコンサルティング株式会社