経済発展におけるサイバーセキュリティ - パート 1: 予防は治療よりも重要

最近では、VNDirect、PVOil、通信サービスプロバイダーなどの大企業に対する少なくとも3件の大規模なランサムウェア攻撃が発生したほか、多くの中小企業でもインシデントが発生しています。

サイバーセキュリティの損失を引き起こす事件や、ベトナムのサイバー空間のセキュリティに影響を及ぼす潜在的なリスクに直面し、ファム・ミン・チン首相はサイバーセキュリティの強化に関する公式文書第33/CD-TTg号を発行した。そこで、首相は各省庁、支局、地方自治体の長に対し、ネットワーク情報セキュリティの確保について直接指導し、責任を負うよう要請した。管理下にある情報システムがネットワーク情報セキュリティを確保せず、重大なインシデントが発生した場合、法律および内閣総理大臣に対して責任を負う。

企業における最近の深刻なサイバーセキュリティインシデントの原因を現状を踏まえて分析する。同時に、企業が注意を払い、技術専門家による情報セキュリティソリューションを導入するための推奨事項を提供し、VNA は「経済発展におけるサイバーセキュリティ」をテーマにした 4 部構成の記事シリーズを作成しました。

教訓1: 予防は治療よりも大切

デジタル時代を迎えた現在、あらゆる分野の国や企業にとって、情報セキュリティ、特にネットワーク情報セキュリティの確保が大きな課題となっています。サイバー攻撃はますます一般的になり、多くの企業が評判の失墜、顧客の喪失、ビジネスチャンスの喪失、さらには訴訟や刑事訴追などの大きなリスクに直面しています。

一連の企業がサイバー攻撃を受けた。

情報通信省情報セキュリティ局によると、サイバー攻撃、特にランサムウェアの件数は2,323件と増加傾向にあるという。多くの機関、組織、企業がサイバー攻撃を受け、システムの混乱、重大な物的損害が発生し、国家のサイバーセキュリティ活動に影響を及ぼしました。

VNDirect、郵政通信保険会社（PTI）、IPA証券投資基金管理会社（IPAAM）、IPA投資グループ（IPA）、Homefood食品株式会社、ベトナム石油公社（PVOIL）などの一連の大企業が、同じ形式と方法のデータ暗号化攻撃によるサイバー攻撃の被害者となっています。 VNDirectとPTIはともに日曜日（3月24日）午前10時にサイバー攻撃を発表した。同時に、IPAAM、IPA、Homefoodなど、このビジネスに関連する企業のウェブサイトでもネットワーク障害が発表されました。これらの事件は企業や投資家に大きな損害を与えました。

VNDirectの代表者は次のように語った。「サイバー攻撃が発見されるとすぐに、企業は事件を報告し、A05部（公安省）の国家サイバーセキュリティセンター、情報通信省情報セキュリティ部のVNCERT/CCとNCSCの2つのセンター、そしてベトナムの大手情報セキュリティおよびサイバーセキュリティ企業から派遣された経験豊富な専門家チームを含む当局から対応と克服のための支援を受けました。」 PVOILの代表者は、ハッカー攻撃の後、PVOILはA05部門と情報セキュリティ部門にも問題解決への協力を要請したと述べた。

専門家によると、サイバー攻撃は最近起こったものではなく、これまでも何度も発生しているが、VNDirectとPVOILの事件は、市場への影響が大きく、多数の投資家が影響を受けたため、注目を集めたに過ぎないという。現実には、インターネット環境では 100% 安全なものはありません。ソニー株式会社、海運会社マースクライン、アメリカの製薬会社メルク社、イギリスの国民保健サービスなど、世界中の多くの大企業や組織もハッカーの攻撃を受け、数億ドルに上る被害が発生したケースもありました。

特に銀行業界では、オンライン詐欺も最近急増しています。オンライン詐欺には、銀行員を装って事業融資の支援を申し出たり、誤って送金を偽装して偽のウェブサイトのログイン リンクを送信したり、クレジットカードに関連する情報を収集したり、Zalo、Facebook、Viber などのソーシャル ネットワーク経由で QR コードを送信したりするなど、さまざまな形態があります。あるいは、銀行のメッセージを偽装したり、警察、検察、税務署、社会保険庁を偽装したりして、被害者に偽のアプリケーション（アプリ）を携帯電話にインストールするよう求め、密かに携帯電話をコントロールします。

情報セキュリティ省傘下の国家サイバースペース監視センター（NCSC）の副所長ファム・タイ・ソン氏は次のように警告した。「現在、サイバー攻撃キャンペーン、特にランサムウェア攻撃は、多くの人々や企業にサービスを提供している政府機関、組織、大企業を標的にしています。主に証券、金融、銀行、エネルギー、通信などの重要な分野です。ランサムウェア攻撃は、多くの場合、組織や機関のセキュリティ上の弱点から始まります。システムに侵入した後、攻撃者はシステム内で「待ち伏せ」し、攻撃を開始する適切な瞬間を待ち、システムを麻痺させ、組織または企業のすべてのデータを暗号化し、被害者に身代金の支払いを要求します。

セキュリティの脆弱性に加えて、スタッフはネットワーク セキュリティに関する知識が不足しており、セキュリティ システムは十分に強力ではなく、企業はネットワーク セキュリティ インシデントに対応する計画を持っていません。サイバーセキュリティインシデント処理プロセスがないことも、システムが攻撃される理由の 1 つです。したがって、ビジネスコンプライアンスは、情報技術システムのセキュリティを強化するために、今後改善し克服する必要がある問題です。

BKAVのサイバーセキュリティ担当ディレクター、グエン・ヴァン・クオン氏は、ユーザーの意識の他に、詐欺や銀行口座の盗難の主な原因は認証技術のレベルが低く、顧客の情報セキュリティが確保されていないことだと語った。それに加えて、銀行口座の売買や交換があまりにも簡単に行われていることも、もうひとつの理由です。実際、現在Facebook、Telegamなどの国境を越えたソーシャルネットワーク上のブラックマーケットチャネルでは、ジャンク銀行口座の売買が盛んに行われている。警察当局は2023年だけでも、海外の銀行口座数千件の密売組織を多数摘発し、これらの口座の取引額は数千億ドンに達した。

全米サイバーセキュリティ協会は、今後、ハッカー集団がランサムウェアを使ったサイバー攻撃を増やし、主要機関、経済、金融、エネルギー組織を標的とし、複雑に発展し続けるだろうと予測しています。協会は、サイバー攻撃やサイバーセキュリティインシデントを検知した場合、直ちにサイバーセキュリティおよびハイテク犯罪防止局（公安部）に連絡し、調整、対応、調査、処理、システム復旧を統括する必要があることを推奨しています。

悪い前例を作らないように

最近継続的に発生し、今後も複雑に発展し、社会経済発展活動に重大な影響を及ぼす恐れのあるサイバー攻撃、特にランサムウェアの状況を受けて、首相はネットワーク情報セキュリティの強化に関する公式指令第33/CD-TTg号を発行した。

したがって、首相は大臣と省人民委員会の委員長に対し、ネットワーク情報セキュリティの確保を指導し、責任を負うよう要請した。各省庁及び地方自治体は、その管理下にある情報システムのネットワーク情報セキュリティ確保の状況を総合的に検討し、評価する責任を有する。提案されたセキュリティレベル文書の承認をシステムの100％完了する期限を厳守し、情報セキュリティ保証計画を完全に展開します。同時に、サポート プラットフォームを定期的に使用して、情報セキュリティを確保し、運用効率を向上させます。情報技術応用計画の構築および実施時に情報セキュリティ項目を整理する。ネットワーク情報セキュリティを確保するための資金比率が総資金の少なくとも 10% に達するようにします。

サイバー攻撃が発生した場合には、速やかに所管官庁、同レベルの専門インシデント対応部門、国家調整機関、サイバーセキュリティ管理機能を有する機関・企業に報告する。さらに、情報の収集と分析において、国家調整機関と関係当局の事件対応調整に準拠します。トラブルシューティング;原因を検証し、発生源を追跡する。情報を話し、公表し、完全な情報を報告し、損害...

首相はまた、運輸省、商工省、天然資源・環境省、情報通信省、保健省、財務省、政府庁舎、ベトナム国家銀行、ハノイ市人民委員会、ホーチミン市人民委員会に対し、情報通信省、公安省、国防省と連携し、国民や企業にオンラインサービスを提供する情報システムを管理する組織や企業に、情報セキュリティ確保の状況を検討、評価、報告するよう指導するよう要請した。 2024年9月までに情報システムの100%のセキュリティレベル提案書の承認を完了し、承認されたレベル提案書に従って情報セキュリティ保証計画を完全に実施し、規則に従って情報セキュリティを定期的に検査および評価します...

ランサムウェア攻撃は特に危険であると考えられていますが、専門家は企業や組織が暗号化されたデータの身代金としてハッカーに金銭を支払わないことを依然として推奨しています。 NCSCの代表は次のように述べた。「世界の一般的な傾向は、ハッカーに身代金を支払わないようにすることです。身代金を支払わないことで、悪い前例を作らないようにするためです。身代金を支払えば、ハッカーが国内の他の標的を攻撃したり、他のハッカーグループが身代金を支払った企業や組織を攻撃し続けるよう促したりする可能性があるからです。」

当局や専門家からの一般的なアドバイスは、企業や組織はランサムウェア攻撃に直面した場合、「戦うのではなく、予防する」必要があるというものです。企業は情報通信省が指導する 4 層防御モデルに従う必要があります。したがって、組織は、オンサイトのサイバーセキュリティ部隊を配置し、定期的なサイバーセキュリティ評価を実施し、専門的なサイバーセキュリティ監視サービスを採用し、サイバーセキュリティセンターと接続して情報を共有する必要があります。システムが復旧して稼働したら、アカウントが引き続き自分の管理下にあることを確認するために、すぐにパスワードを変更する必要があります...

銀行部門では、ネットワークのセキュリティと情報システムの継続的な運用を強化するために、国立銀行が部門内の部署に情報システムのレベル別分類を完了するよう要求しました。また、各情報システムごとに情報セキュリティ保証計画を徹底し、システム設計やネットワークセキュリティポリシーを見直し、重要な情報システムが確実に設計されるよう努めます。同時に、プライベート ネットワーク パーティションにインストールされ、接続とネットワーク アクセスを制御する厳格なネットワーク セキュリティ ポリシーが設定され、ユニットの情報システムへの広範囲にわたる攻撃や権限昇格攻撃を防止します。

また、情報セキュリティを定期的に点検・評価し、規定に従って情報セキュリティリスクを定期的に管理し、情報システムに存在する抜け穴や弱点を徹底的かつ迅速に修正し、メーカーによるサポートが終了した古いオペレーティングシステムやアプリケーションを依然として使用している情報システムのアップグレードや交換を計画し、実施します。同時に、メインデータセンターとバックアップデータセンターの両方でデータ暗号化攻撃が発生する状況を含め、情報システムへのリスク発生時に日常運用データを完全に復元する必要があるという原則に従って、データ変更の頻度に応じて自動バックアップを実行します。

教訓2: 銀行の「おいしい餌」