概要
- JBS および公的機関により確認:JBS USA は 2021 年 5 月 30 日(日)、北米およびオーストラリアの IT システムを支えるサーバーに影響を及ぼす組織的なサイバーセキュリティ攻撃の標的となったことを確認した。同社は影響を受けたシステムを停止し、当局に通知、自社および第三者機関の対応チームを投入し、バックアップサーバーは影響を受けていないと述べた。JBS は後に、6 月 3 日までに全世界の施設が完全に稼働し、失われた食料生産は 1 日分未満に留まり、身代金として 1100 万ドル相当を支払ったと述べた。FBI はこの攻撃を REvil および Sodinokibi によるものと断定した。
- 継続性の記録:混乱は食料供給の実務的な仕組みに影響を及ぼした。と畜スケジュール、工場立ち上げ、出荷、顧客・サプライヤーとの取引、家畜の流れ、政府による市場監視、小売業者や買い手の信頼などである。JBS は 6 月 1 日にほぼ全ての米国施設から製品を出荷し、生産に不可欠なシステムを優先したと述べたが、公開記録には工場ごとの生産能力推移、顧客への遅延記録、労働者の賃金記録、生産者の損失調整は含まれていない。
- 限定的な技術的説明:JBS は完全なフォレンジックレポートを公開していない。同社の声明では、初期アクセス経路、滞在期間、影響を受けたアプリケーション、セグメンテーション設計、正確な復旧手順、身代金交渉の経緯、保険の扱い、データ流出に関する結論の独立した検証などは特定されていない。「中核システム」、暗号化バックアップ、冗長システムに関する主張は、完全なアーキテクチャ監査としてではなく、企業声明として読まれるべきである。
- 評価:犯罪者が侵入と恐喝に関与した。JBS とその公的パートナーは、結果の異なる部分を制御していた:システムの隔離、バックアップからの復旧、工場再開の順序、政府との調整、市場へのメッセージング、生産者や顧客の代替手段、そして大半の施設がすでに操業を再開していた後での支払いという議論を呼ぶ決断などである。この事例は、単なるサイバー犯罪のニュースではなく、食料継続性に関するアカウンタビリティ(説明責任)の記録となっている。
食肉供給はタイミングのシステムである
食肉処理は単なる工場の問題ではない。それはタイミングのシステムである。牛、豚、家禽は、動物福祉、飼料コスト、労働力、検査、冷蔵保管、輸送、小売りのプロモーション、輸出契約を反映したスケジュールで到着する。操業を一時停止する工場は、単にウェブページを閉じるだけではない。動物を待機させる場所が変わり、集荷を受ける生産者が変わり、シフトに出勤する労働者が変わり、コールドチェーンの枠が変わり、製品を受け取る顧客が変わり、自信を持って観測できる市場価格が変わる。
だからこそ、JBS 事件は単なるランサムウェアの話ではなくなった。JBS USA の最初の公開声明は、2021 年 5 月 30 日(日)に、北米およびオーストラリアの IT システムを支える一部のサーバーに影響を及ぼす組織的なサイバーセキュリティ攻撃の標的となったと述べている。同社は、影響を受けたシステムを停止し、当局に通知し、社内の IT 専門家と第三者機関のエキスパートを投入するという即時の措置を取ったと発表した。また、バックアップサーバーは影響を受けておらず、一部の顧客およびサプライヤーとの取引が遅延する可能性があると警告した。(JBS の 5 月 31 日声明)
この短い文章がアカウンタビリティの記録の始まりである。これらは、この事象が停止せざるを得ないほど重要なシステムに及んだこと、JBS が完全な復旧よりも封じ込めを選択したこと、同社が顧客やサプライヤーとの取引への影響を理解していたこと、そしてバックアップが復旧の中心であったことを示している。影響を受けたサーバーが生産スケジューリングシステムなのか、認証システムなのか、財務システムなのか、ネットワークサービスなのか、ファイルサーバーなのか、工場インターフェースなのか、あるいはそれらの組み合わせなのかは示していない。また、攻撃者が検知される前にどの程度まで侵入していたかも示していない。
混乱の期間が短かったことは重要である。同様に、混乱した組織のカテゴリーも重要である。JBS は牛肉、豚肉、鶏肉、調理済み食品にわたる大手加工業者であり、生産者と小売り・フードサービス市場を結ぶ事業を展開している。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、混乱が公衆衛生、安全、セキュリティ、経済活動に影響を及ぼす可能性があることから、食品・農業を重要インフラ部門と位置付けている。(CISA 食品・農業部門概要)その規模での 1 日の中断は、裁量的なサービスでの 1 日の停止とは同じではない。
したがって、より良い問いは、あらゆる場所で棚が空になったかどうかではない。そうはならなかった。問うべきは、どのような制御が混乱を短期間に留めたのか、どの制御が失敗したか、あるいは公に立証されなかったのか、そして JBS と公的機関が供給、価格、データのリスクが封じ込められたと言えるようになるまでの間、誰が不確実性を負担したのかである。
公開された時系列はコンパクトだが示唆に富む
この事件の記録は異例なほどに圧縮されている。5 月 31 日、JBS は攻撃とその封じ込め措置について説明した。6 月 1 日、JBS と Pilgrim's は、北米およびオーストラリアの事業に影響を与えているサイバー攻撃の解決に向けて大きな進展があったと発表したが、メキシコと英国の事業には影響はなかった。JBS は、システムが復旧しつつあり、サイバーセキュリティ計画を実行中であり、牛肉、豚肉、鶏肉、調理済み食品工場の大多数は翌日には操業可能になると述べた。また、ほぼ全ての米国施設から製品を出荷し、複数の豚肉、鶏肉、調理済み食品工場が操業しており、カナダの牛肉施設も生産を再開したと述べた。(JBS の 6 月 1 日進捗声明)
この 6 月 1 日の声明は、IT の復旧を食品に固有の責務と結びつけている点で重要である。JBS は、システムが復号化され、再構築されているとだけ述べたわけではない。チームメンバー、生産者、消費者に対する責任を認識しており、食料供給を守るために政府との協議が行われていると述べた。これらは飾りのカテゴリーではない。チームメンバーはシフトと安全に関する情報を必要としていた。生産者は、自分の家畜が受け入れられるかどうかを知る必要があった。顧客は出荷を必要としていた。消費者と公的機関は、大手加工業者が単一故障点(コモンモード障害)になっていないという確信を必要としていた。
6 月 2 日、FBI はこの攻撃を REvil および Sodinokibi によるものと断定し、この事件を単独の企業事象としてではなく、より大きなサイバー犯罪取り締まり問題の一部として扱った。FBI の声明は、指標、技術的詳細、法的な訴状を公開しなかった。しかし、ランサムウェアのエコシステムを公に特定し、被害者に対して速やかに通報するよう促した。(JBS に関する FBI 声明)
6 月 3 日、JBS は 5 月 30 日に始まった犯罪的なサイバー攻撃の解決後、全世界の施設が完全に稼働したと発表した。同社は、迅速な対応、堅牢な IT システム、暗号化されたバックアップサーバーに感謝の意を表し、攻撃中に失われた食料生産は 1 日分未満に留まったと述べた。さらに、全世界の事業における損失生産は、翌週末までに完全に回復すると付け加えた。同社はまた、侵入を隔離し、感染拡大の可能性を抑え、中核システムを守るために、全てのシステムを自発的に停止したと述べた。(JBS の 6 月 3 日解決声明)
6 月 9 日、JBS は 1100 万ドル相当の身代金を支払ったことを確認した。同社は、支払い時点で大半の施設が操業しており、この決定は社内の IT 専門家および第三者機関のエキスパートと協議の上、不測の事態を緩和し、データが流出していないことを確実にするために行われたと述べた。また、予備調査の結果、企業、顧客、従業員のデータが一切侵害されなかったことが確認されたとも発表した。(JBS の 6 月 9 日身代金声明)
この最後の声明は、単純な解釈を複雑にする。JBS は支払いを、閉鎖された工場を復旧させる唯一の手段とは位置付けなかった。支払いが行われた時点で、大半の施設がすでに操業していたと述べた。したがって、この決定はより限定的ながら依然深刻なカテゴリーに属する。すなわち、操業復旧が大幅に進んだ後に、残留リスク、データリスクの不確実性、あるいは復旧の不確実性を低減するために行われた支払いというカテゴリーだ。これは、バックアップがないために支払うのとは異なる。また、バックアップが全ての被害を解決するという理由で支払いを拒否するのとも異なる。
確認されたことと確認されなかったこと
確認された事実は実質的である。JBS はサイバー攻撃を特定し、影響を受けたシステムを停止し、影響を受けていないバックアップサーバーを使用し、当局に通知し、迅速に生産を復旧させ、政府と連携し、顧客、サプライヤー、従業員のデータが侵害された証拠はないと述べ、後に 1100 万ドルの身代金支払いを開示した。FBI はこの攻撃を REvil および Sodinokibi によるものと断定した。
確認されていない事実も同様に重要である。JBS は攻撃者の侵入経路を公開していない。攻撃者が環境内に存在していた期間も公開していない。攻撃がリモートアクセスサービスから始まったのか、アイデンティティプロバイダーからか、エンドポイントからか、ベンダー接続からか、露出したサーバーからか、フィッシングメールからか、あるいは侵害された認証情報からかを明らかにしていない。暗号化されたシステム、安全のために隔離されたシステム、バックアップから復旧されたシステム、クリーンイメージから再構築されたシステムの一覧も提供していない。工場ごとのダウンタイム、独立したデータフォレンジックレポート、「中核システム」が何を意味するのかの詳細な説明も提供していない。
これが重要なのは、短い停止によってアカウンタビリティが歪められる可能性があるからだ。事件が数日しか続かなかった場合、一般には統制が強固だったと推測されがちである。時にその推測は妥当だ。迅速な封じ込め、影響を受けなかったバックアップ、訓練された復旧手順、操業上の優先順位付けは、潜在的に深刻な事象を限定的な混乱に変えうる。しかし、同じ短さが、労働者、生産者、物流パートナー、顧客、公的機関に転嫁されたコストを隠蔽することもあり得る。迅速な再開は、完全な統制報告ではないからだ。
JBS 自身の言葉は、強みと不完全さの両方を示している。バックアップサーバーが影響を受けなかったことは、特に生産再開と組み合わさると強力なシグナルである。犯罪者が中核システムにアクセスしなかったという主張は安心材料だが、それらのシステムの定義がなければ独立して検証することはできない。データ侵害がなかったという予備的な結論は意味があるが、最終的なフォレンジック公表とは同じではない。6 月 3 日までに全世界の施設が完全に稼働したという企業声明は復旧の重要なマイルストーンだが、その声明を実際に裏付けるために必要な受注残、残業、出荷漏れ、家畜の再スケジューリング、調整作業は開示していない。
封じ込め自体が可用性ショックを生み出した
JBS は、侵入を隔離し、感染拡大の可能性を抑え、中核システムを守るために、全てのシステムを自発的に停止したと述べている。これは防御可能なランサムウェア対応である。CISA のランサムウェアガイダンスでは、影響を受けたシステムを隔離し、拡散を防ぐために必要な場合はシステムをオフラインにすることを推奨しており、同時にオフラインバックアップ、復旧テスト、最小権限の原則、パッチ適用、多要素認証、セグメンテーション、インシデント対応計画、コミュニケーション規律の重要性も強調している。(CISA StopRansomware ガイド)
アカウンタビリティの問いは、停止が本質的に誤りだったかどうかではない。停止によって影響を受けるであろう食料供給機能について、事業者がテスト済みの縮退モードを持っていたかどうかである。工場の再開は、単なるサーバーの再起動ではない。従業員のスケジューリング、衛生管理、安全点検、米国施設での USDA(農務省)検査、家畜の受け入れ、ラインの順序、包装、冷蔵保管、注文の割り当て、輸送、請求、顧客とのコミュニケーションが必要となる。ランサムウェア封じ込めの決定がこれらの機能を調整するシステムを停止させるのであれば、組織はどの工場を最初に稼働させ、どの義務を優先させるかを決定するための代替手段を必要とする。
通常のランサムウェア分析では「可用性」はしばしばファイルやアプリケーションを意味する。食肉加工業者においては、可用性はまた、家畜が受け入れ可能であること、動物が必要以上に長く拘束されないこと、労働者が出勤すべきかどうかを知っていること、工場が安全に操業できること、製品がコールドチェーンを通じて移動できること、そして顧客が計画を立てるのに十分な正確な情報を受け取れることをも意味する。これらはサイバーセキュリティと別物ではない。それらはサイバーセキュリティの現実世界での攻撃対象領域なのである。
6 月 1 日の JBS のアップデートは、工場の操業がまだ再開途上にある中で、ほぼ全ての米国施設から製品を出荷したと述べた。これは、少なくとも一部の在庫と物流能力は最初のデジタルショックを生き延びたことを示唆する。また、継続性の問題には層があることを示している。既存の製品を出荷することは、完全なと畜・加工を再開することと同じではない。複数の豚肉、鶏肉、調理済み食品工場を稼働させることは、全ての牛肉生産能力を戻すことと同じではない。カナダの牛肉施設が生産を再開したことは一里塚ではあるが、北米全体の地図ではない。
したがって、JBS にとって最も強力な公的証拠は、同社が決して脆弱ではなかったことではなく、システムを隔離し、バックアップを使用し、生産に不可欠なシステムを優先し、迅速に再開できたことである。残る問いは、再開が耐久性があり、安全で、生産者、労働者、顧客の間で公平であったことを示す証拠は何かということだ。
身代金支払いはガバナンスの決断であり、技術的な付随事項ではない
1100 万ドルの支払いはしばしば見出しとして記憶される。しかし、それは技術的、法的、倫理的、保険、公共の利益の側面を持つガバナンス上の決断として分析されるべきである。
JBS は、支払い時点で大半の施設が操業していたと述べた。この一つの事実が「生産再開のために支払う」という単純な話を妨げる。同社は支払いを、不測の事態を緩和し、データが流出していないことを確実にする方法として位置づけた。それでもこれは重大な主張である。つまり、経営陣は、復旧後の残留リスクが犯罪者への高額な支払いを正当化すると信じたか、あるいはそう助言されたことを意味する。公開記録は、具体的なリスク分析、身代金要求額、交渉の記録、制裁スクリーニング、取締役会の関与、保険会社の関与、法執行機関のガイダンス、あるいは支払いが実際にデータ露出の確率を変えたかどうかを明らかにしていない。
FBI の公式ガイダンスは、身代金の支払いは復旧を保証せず、データ漏洩を防ぐこともできず、支払いは更なる攻撃を助長すると警告している。2021 年の一連の事件後の FBI の議会証言でも、同局は支払いを推奨しない方針を強調しつつ、被害者に対しては支払いの決定に関わらず事件を通報するよう促している。(FBI のランサムウェア証言)それは全ての支払いが法的に禁止されていることを意味するわけではなく、取締役会が差し迫った被害を評価する緊急の義務を解決するものでもない。それは、主要な重要インフラ企業による支払いが外部効果を持つことを意味している。
食料供給において、外部効果は明らかだ。支払いが不確実性を低減し、クリーンな再開を支援するならば、生産者、労働者、小売業者、消費者への短期的な被害を軽減するかもしれない。しかし、同じ犯罪エコシステムに資金を供給し、それが他の事業者を攻撃するならば、病院、学校、小規模加工業者、公的機関に対する長期的なリスクを増大させる可能性がある。JBS の公開声明は、部外者がこれらの効果を比較衡量するのに十分な証拠を提供していない。
だからこそ、身代金の決定は統制記録を生み出すべきである。その記録には、支払いを承認する権限を誰が持っていたのか、どのような代替手段があったのか、どのシステムがすでに復旧していたのか、どのデータリスクの証拠が未解決のままだったのか、法執行機関との協議は行われたのか、制裁スクリーニングは完了したのか、保険会社の役割は何だったのか、顧客やサプライヤーの利益はどのように考慮されたのか、そして支払い後にどのような保証が実施されたのかが特定されるべきである。一般の人々は、全ての機微な詳細を必要としているわけではない。しかし、真の緊急必要性と、評判管理、不確実性の購入、あるいは不十分な準備とを区別するのに十分な情報は必要である。
公的機関が継続性の一部となった
JBS はホワイトハウス、USDA、FBI、外国政府に繰り返し感謝の意を表した。Reuters が同時期に報じ、Business Insurance が転載した政権側の公式発表によると、JBS は米国政府にランサムウェアの被害者であると伝え、USDA は同社幹部と数回にわたり協議し、FBI が捜査中であり、米国はロシアを拠点とする可能性が高いとされる犯罪組織についてロシアと協議しているという。(Business Insurance / Reuters の報道)The Guardian もホワイトハウスの発表と、大手食肉工場の停止が敏感な時期の供給に影響を与えうるという懸念を報じた。(Guardian の報道)
公的部門の継続性には二つの役割があった。第一は技術的かつ捜査的なものだ。被害者を支援し、可能であれば攻撃者の特定を行い、証拠を収集し、他の重要インフラへのリスクを低減すること。第二は市場向けのものだ。大手加工業者での短い中断が供給や価格の問題を引き起こすかどうか、また他の加工業者が追加の処理能力を提供できるかどうかを判断すること。食品当局は民間ネットワークにパッチを適用することはできないが、処理量を監視し、セクター参加者とコミュニケーションを取り、回避可能なパニックを防ぐ手助けはできる。
USDA の役割は特に重要である。なぜなら、公的な市場情報は食料システムの制御面の一部だからだ。USDA の市場ニュースシステムや家畜報告は、生産者、買い手、政策立案者が現在の状況を理解するのに役立つ。(USDA 農業マーケティング局市場ニュース)大手加工業者に影響を与える事件の間、公的部門がと畜頭数、卸売価格、家畜の移動、コールドチェーンの状況を観察する能力は、安定化機能となる。
この計画の背景は JBS 事件以前から存在するが、なぜ民間の事件が公的な調整作業になり得るのかを説明している。連邦政府の食品・農業セクター計画は、生産、加工、流通、関連サービスにわたる官民共同の取り組みとしてレジリエンス(強靭性)を説明している。(食品・農業セクター特定計画)FDA の食品防衛資料も同様に、食品システムのセキュリティを単一企業の問題としてではなく、調整された準備態勢の機能として扱っている。(FDA 食品・農業セクター活動)CISA のより広範な重要インフラ分類では、民間の操業混乱が公共の結果を生み出しうる他のセクターと並んで、食品・農業を位置付けている。(CISA 重要インフラセクター)
だからといって、JBS の内部統制に対して政府が責任を負うわけではない。それは、企業が主要な事業者であり続ける場合でも、民間セクターのサイバー事件が公的部門の継続性作業を引き起こしうることを意味している。この事例はしたがって、通常の事業中断と国家のレジリエンスの中間に位置する。食料サプライチェーンは大部分が民間である。その故障モードはそれでも公共の問題となり得る。
市場への影響は現実的だが、公開記録では限定的
ニュース報道は、米国、カナダ、オーストラリアの JBS 工場全体での一時的な操業停止を伝え、アナリストは牛と豚のと畜頭数を注意深く見守った。Business Insurance が転載した Reuters の報道は、前週や前年と比較して 6 月 1 日の牛と豚のと畜頭数が減少したという USDA の推定を引用している。これらの数字は有用な文脈を提供するが、単純に JBS のみの損失数として過剰に解釈すべきではない。と畜推定値は、祝日、人員配置、工場のスケジュール、季節パターン、無関係な供給状況など、様々な理由で変動する。
JBS 自身の 6 月 3 日の声明は、最も単純化された企業生産に関する主張を提示している。攻撃中に失われた食料生産は 1 日分未満に限られ、全世界の事業における損失生産は翌週末までに完全に回復するというものだ。これは強力な主張だが、企業による推定でもある。公開記録には、その生産損失の尺度に関する独立した検証は含まれておらず、回復生産に残業、ライン変更、サプライヤーの再スケジューリング、製品構成の変更、輸出の遅延、顧客代替が必要だったかどうかも示していない。
オーストラリアの記録は国際的な次元を示している。オーストラリアサイバーセキュリティセンター(ACSC)の 2020-2021 年次脅威報告書は、オーストラリアのメディア企業と JBS Foods へのランサムウェア攻撃を、犯罪者が知名度の高い組織とより高額な身代金へと移行している証拠として引用している。(ACSC 年次サイバー脅威報告書 2020-2021)この枠組みは、JBS 事件を単なる米国食肉供給の話ではなく、世界的なランサムウェア経済の中に位置付けている点で有用である。
限定的な結論としては、JBS の中断は複数の政府を動かし、複数の国での工場操業に影響を与え、公開市場の監視を引き起こすほど深刻だったが、JBS によれば世界的な生産損失は限定的で回復可能なほど短かったということだ。証拠は、食料供給が崩壊したという劇的な主張を支持していない。むしろ、ランサムウェアが、消費者に物理的な不足が見える前に、いかに集中化されデジタルに依存した食料加工が継続性の懸念となり得るかを短期間ながら露呈させたという、より規律ある主張を支持している。
労働者が最初の操業上の不確実性を負った
継続性分析はしばしば労働者をコストカテゴリーとして扱う。今回のケースでは、彼らはまた最初の代替層でもあった。
工場従業員は、シフトが行われているか、ラインが安全に稼働できるか、勤怠管理や給与システムが影響を受けているか、衛生管理や検査のステップが準備できているか、監督者が変更を伝達できるか、操業遅延が労働時間や賃金に影響を与えるかを知る必要があった。JBS の公開声明はチームメンバーに感謝し、操業チームを復旧の中心と位置付けたが、労働者レベルの詳細は提供しなかった。
詳細がないことは問題となる。なぜなら、労働力は「システムが復旧しつつある」状態と「通常業務が再開された」状態の間のギャップを吸収するからだ。工場は段階的に再開されるかもしれない。作業班は帰宅させられたり、呼び戻されたり、清掃に配置転換されたり、残業を求められたり、家畜や設備のスケジュールがリセットされる間、待機させられたりする。一部の労働者は労働時間を失うかもしれないし、他の者は作業が急増するかもしれない。デジタル保守、スケジューリング、コミュニケーションシステムが損なわれている場合、安全についての不確実性に直面する者もいるかもしれない。
これは JBS が労働力を不適切に扱ったという主張ではない。公開記録はその結論を支持していない。これは、食料供給のサイバー事件は生産量だけで評価することはできないという主張だ。労働者の継続性は食料継続性の一部である。事業者が「失われた生産は翌週までに回復した」と述べるならば、完全なアカウンタビリティ記録は、人件費、残業、逃したシフト、安全点検、労働者へのコミュニケーションがどのように扱われたかも示すべきである。
生産者と家畜が停止を時間に敏感なものにした
データセンターの停止では、ワークロードは時に待つことができる。食肉サプライチェーンでは、動物は成長し続け、世話を必要とする。飼料コストもかかり続ける。収容スペースは有限だ。福祉と品質の制約がプレッシャーを生む。短い中断後の工場再開でも、生産者や運送業者には、加工業者の見出しとなる生産損失数には決して表れない再スケジュールの問題が残りうる。
JBS の 6 月 1 日の声明は、生産者をステークホルダーグループとして認識していた。それは正しいカテゴリーだった。生産者はこの文脈では通常のベンダーではない。彼らは生きている在庫を管理する川上の事業者だ。加工業者のダウンタイムは、動物が移動する時期、どれだけの期間飼養されるか、どの契約が履行されるか、どの代替工場が利用可能かを変えうる。集中化された市場では、代替能力は限られているか、地理的にコストが高い可能性がある。
これが、公的機関が供給と価格の問題を注視した理由でもある。問題は消費者が空の棚を目にするかどうかだけではなかった。一時的な処理のボトルネックが、川下の影響が小売りに現れる前に、コストと不確実性を川上の農家や牧場主に押し上げるかどうかだった。堅牢な継続性記録は、生産者にどのように通知されたか、配送がどのように優先されたか、すでに輸送中の動物がどのように扱われたか、契約が遅延にどう対応したか、小規模生産者が不釣り合いな損害を被らなかったかを示すであろう。
公開記録はそれらの生産者への影響を定量化していない。その不確実性は創作された数字で埋められるべきではない。それはアカウンタビリティ記録におけるギャップとして保持されるべきだ。JBS は多くの生産者の問題にうまく対処したかもしれない。入手可能な公的証拠は、部外者にその割り当てを検証させるものではない。
セグメンテーションが隠れた制御の問いである
JBS は、攻撃は北米およびオーストラリアの IT システムを支える一部のサーバーに影響を及ぼしたと述べた。また、犯罪者は中核システムにアクセスせず、同社は侵入を隔離し中核システムを守るためにシステムを停止したと述べた。これらの声明はセグメンテーションを直接指し示しているが、それを評価するのに十分な情報を明らかにしていない。
この状況でのセグメンテーションには複数の層がある。企業 IT、工場操業、安全システム、物流、財務、バックアップの間のネットワークセグメンテーションがある。一般ユーザー、管理者、サービスアカウント、第三者サポートの間のアイデンティティセグメンテーションがある。注文管理、工場スケジューリング、コールドチェーンシステム、輸出書類、給与計算、顧客ポータルの間のアプリケーションセグメンテーションがある。国や事業単位の間の地理的セグメンテーションがある。本番インフラと復旧用コピーの間のバックアップセグメンテーションがある。
6 月 1 日の JBS の声明によれば、メキシコと英国の事業には影響がなかったという事実は、事件が全ての地域に一様に伝播しなかったことを示唆している。北米とオーストラリアのシステムが影響を受けたという事実は、それらの地域にわたる共有サービスや共通の対応決定を示唆している。バックアップが影響を受けなかったという事実は、本番インフラと復旧インフラの間に何らかの分離があったことを示唆する。しかし、そのいずれも理想的なアーキテクチャを証明するものではない。
関連するアカウンタビリティのテストは、攻撃者が 1 台のサーバーに到達したかどうかではない。1 つの管理プレーン、アイデンティティドメイン、ファイルサービス、リモートアクセス経路、またはビジネスアプリケーションの侵害が、そうでなければローカルで稼働できたかもしれない工場の広範な停止を強制し得たかどうかだ。成熟した事後記録であれば、どの機能が侵害されたために利用不能になったのか、どれが意図的に隔離されたために利用不能になったのか、どれが手動で継続されたのか、どれが独立して操作可能だったのかをマッピングするだろう。
その地図がなければ、一般の人々は事件が迅速に封じ込められたことは知ることができるが、その封じ込めが強固なセグメンテーション、幸運、迅速な支払い、攻撃者のアクセス範囲の狭さ、事前に計画された復旧、あるいはそれらの組み合わせに依存していたのかどうかを知ることはできない。
バックアップは必要だったが、完全な継続性の答えではなかった
JBS はバックアップサーバーと暗号化されたバックアップを繰り返し強調した。それは合理的だった。ランサムウェア防御において、保護されテストされたバックアップは、しばしば制御された復旧と恐喝への依存の違いとなる。CISA と FBI のガイダンスは一貫して、組織に対し、オフラインまたはその他の方法で保護されたバックアップ、テスト済みの復旧、インシデント対応計画、最小権限による管理を指針として示している。(FBI ランサムウェア安全ガイダンス)
しかし、バックアップは食料供給の問題の一部にしか答えない。バックアップはデータとアプリケーションを復旧させるかもしれないが、環境がクリーンであるという確信を自動的に回復させるわけではない。どの工場を最初に始動させるかを決定するわけではない。牛や豚の配送を再調整するわけでもない。注文状況が不明確な場合に顧客の信頼を維持するわけでもない。労働者の逃した労働時間を補償するわけでもない。規制当局や公的機関に対し、価格変動がサイバー混乱によるものか、通常の市場変動によるものかを伝えるわけでもない。
JBS のケースはその区別を例示している。JBS はバックアップが迅速な復旧を支えたと述べたが、それでもなお、大半の施設が操業していた後で 1100 万ドルを支払った。これは、バックアップは重要だったが、経営陣の判断では残留リスクを排除するには不十分だったことを意味する。支払いは、データリスクの恐れ、復号ツールの保証、脅威アクターの約束、事業上の圧力、法的助言、あるいはそれらの組み合わせによって動機づけられたのかもしれない。公開記録はそれを示していない。
他の食品事業者への教訓は、バックアップテストにはプロセステストを含めるべきだということだ。中央のスケジューリングが利用できない場合、工場はシフト分の操業が可能か?信頼できるローカルコピーに基づいて出荷をリリースできるか?検査、衛生、保守、品質の記録をオフラインで取得し、調整できるか?電子メールや通常のポータルがダウンしているときに、生産者や運送業者は認証されたステータス更新を受け取れるか?給与計算や勤怠管理は再構築できるか?これらは食用継続性テストであり、一般的な IT テストではない。
データ保証は企業管理下の主張に留まった
JBS は、顧客、サプライヤー、従業員のデータが侵害または悪用された証拠は認識していないと述べ、後に予備調査の結果、企業、顧客、従業員のデータが一切侵害されなかったことが確認されたと述べた。ランサムウェアグループはしばしば暗号化とデータ窃取を組み合わせるため、これは重要な声明である。
しかし、これも限定的だ。公開記録には、フォレンジック手法、調査されたログ、時間枠、対象とされたシステム、「侵害」の定義、あるいはデータがステージングされたが削除されなかったかどうかが含まれていない。また、後の独立した評価も含まれていない。JBS の 6 月 9 日の声明自体が、第三者のフォレンジック調査が進行中であり、最終的な判断はまだ下されていないと述べている。その注意書きは、事例のあらゆる再話と共にあるべきだ。
データ保証は顧客と同様にサプライヤーや従業員にとっても重要だ。食肉加工業者は給与情報、健康・安全記録、取引先銀行口座詳細、生産者契約、顧客価格、輸出書類、物流記録を保持しうる。企業がそのようなデータは侵害されなかったと述べれば、関係者は安心できる。もしその結論が予備的なものであれば、彼らは依然としてリスクを監視する必要があるかもしれない。この公開記事はそのギャップを解決できない。ただその区別を明確に保つことしかできない。
重要インフラの地位は民間の支配を消し去らない
食品・農業の重要インフラは、多くの操業支配が民間の手にあるという点で特殊である。公的機関は助言、調整、調査を行うことができるが、JBS の工場を運営するわけではない。このことが繰り返しアカウンタビリティの緊張を生む。事件が供給を脅かす場合、公衆には利害がある。事件の記録が技術的・商業的である場合、多くの証拠は非公開のままとなる。
JBS 事件はその緊張を如実に示している。連邦および外国の当局者が迅速に関与し、FBI は攻撃者を特定し、USDA は潜在的な供給と価格の問題を監視し、オーストラリア当局は事件を深刻なランサムウェアのトレンドの一部と見なした。しかし、主要なアーキテクチャの事実は企業とその対応者の中に留まった。
だからといって、JBS が攻撃者の助けになるような機微な詳細を公開すべきだったということではない。重要インフラ事業者は、急性期の後に構造化された保証を提供できるべきであることを意味する。有用な保証報告書は、IP アドレス、ソフトウェアバージョン、フォレンジック指標を開示する必要はない。影響を受けた機能、封じ込めの決定、バックアップのパフォーマンス、手動の継続性能力、生産者と顧客へのコミュニケーション、データリスクの結論、復旧マイルストーン、規制当局との調整、改善された管理策といったカテゴリーを開示できる。
そのような報告はセクターの利益になるだろう。小規模な加工業者や農業事業者は、「大手企業が迅速に復旧」という見出しからほとんど学びを得られない。どの依存関係が遅延を生み、どのバックアップが重要だったか、どの通信チャネルが機能し、どの手動プロセスが負荷の下で失敗したかを知ることから、より多くを学ぶのだ。
ランサムウェア政策がサプライチェーンの現実と対峙した
FBI は身代金支払いを推奨しない。この立場は、支払いが犯罪組織に資金を提供し、復旧や機密保持を保証しないため、システム的な政策として健全である。同時に、生産やデータ、顧客被害について不確実性に直面する食品事業者は、支払いを短期的なリスク低減ツールと見なすかもしれない。この相反は願望によって消えるものではない。
この問題を乗り越える道は証拠だ。重要インフラ企業が支払いを行う場合、たとえ一部の操業詳細が機密のままであっても、後に決定のカテゴリーを説明できるべきである。人身の安全が危険にさらされていたのか?生産は依然として実質的に停止していたのか?バックアップは利用不能または信頼できなかったのか?データの窃取は独立して確認されたのか?規制対象のデータ種別が含まれていたのか?支払い前に法執行機関に通報されたのか?制裁リスクは評価されたのか?支払いは保険でカバーされたのか?影響を受けた顧客やサプライヤーに実質的な情報が伝えられたのか?その後、再発リスクを低減するためにどのような管理策が変更されたのか?
JBS のケースでは、公開された事実はこれらの問いの一部にしか答えていない。JBS によれば、支払い時点で施設の大半は操業していた。JBS は社内外の専門家に相談していた。政府とのコミュニケーションは継続的だった。予備調査ではデータ侵害は特定されなかった。同社は不測の事態を緩和し、データ流出を防ぎたかった。欠けているのは、根底にあるリスクモデル、検討された代替手段、そして支払い後の保証である。
その結果、この事例は身代金論争の両陣営によって誤用され得る。支払い擁護派は、企業が復旧し食料供給を守ったと言える。支払い批判派は、復旧がほぼ完了した後に犯罪者に報酬を与えたと言える。より正確な見方はより限定的だ。大手食品加工業者が、迅速な復旧の後、残留する不確実性の下で高額の支払いを行ったが、その支払いが実質的に被害を低減したかどうかを公的証拠が示していない事例である。
集中が企業のダウンタイムをセクターの不安に変えた
この事件が大きな注目を集めたのは、JBS が大規模だったからだ。集中した処理能力は、単一企業の停止を生産者、顧客、政府監視機関への問いへと変える。これは集中が侵入を引き起こしたという主張ではない。集中が操業混乱の影響範囲を変えるという主張だ。
より小規模な工場が停止しても、地元の生産者や顧客は依然として実質的な損害を被りうる。非常に大きな加工業者が複数の地域で停止すれば、市場参加者は国内または国境を越えた処理量を心配する。他の加工業者は追加の処理能力を提供するよう求められるかもしれない。公的機関は価格と供給への影響を注視するだろう。小売業者やフードサービスのバイヤーは注文や在庫を調整するかもしれない。混乱が短くても、不確実性は急速に広がる。
その不確実性自体が損害である。生産者は移動を遅らせるかもしれない。買い手は代替製品を探すかもしれない。競合他社はスケジュールを変更するかもしれない。労働者は不完全な情報を受け取るかもしれない。政府当局者は調整に時間を費やすかもしれない。消費者は実際の不足が生じる前に見出しに反応するかもしれない。これが、JBS の迅速な公開声明が重要だった理由だ。それらは日付、地理的範囲、復旧見通し、データリスクに関する声明を与えることで不確実性を低減した。
しかし、全ての不確実性を排除したわけではない。完全な再開曲線を公開したわけではない。他の加工業者や公的機関が行った作業を定量化したわけでもない。タイミングやキャッシュフローへの影響から、どのように小規模な取引相手が保護されたかを示したわけでもない。中心的なアカウンタビリティの問いは残る。集中化されたサプライチェーンにおいて、支配的事業者は、短い停止が真に限定的だったと一般が信頼できるようになる前に、どれほどのレジリエンスを実証しなければならないのか?
食料供給サイバー事件後の望ましい証拠の姿
JBS の事例は、将来の事件に向けた実用的な証拠基準を示唆している。
第一に、事業者は企業のステータスだけでなく、機能別の操業時系列を開示すべきだ。「システムが復旧しつつある」という表現よりも、家畜の受け入れ、と畜、加工、包装、冷蔵保管、出荷、注文管理、サプライヤー取引、給与計算、顧客サポートといった個別のステータスの方が有用である。
第二に、事業者は侵害されたシステムと予防的に隔離されたシステムを区別すべきだ。それにより、部外者は被害が攻撃者の支配によるものか、防御的な封じ込めによるものか、依存関係の設計によるものかを理解しやすくなる。
第三に、事業者はバックアップのパフォーマンスを操業上の観点から報告すべきだ。どの機能がバックアップから復旧されたか?復旧されたデータはどの程度新しいものだったか?検証にはどれだけ時間がかかったか?どの手動記録の調整が必要だったか?
第四に、事業者はステークホルダー向けコミュニケーションのカテゴリーを公開すべきだ。生産者、労働者、運送業者、顧客、規制当局、公的機関はそれぞれ異なる事実を必要とする。一通のプレスリリースだけではそれら全てを伝えることはできない。
第五に、事業者は身代金決定のガバナンスを高いレベルで説明すべきだ。それは権限、代替手段、法執行機関との連絡、制裁スクリーニング、保険の関与、支払い後の保証のカテゴリーを意味する。
第六に、事業者は残存する未知事項を特定すべきだ。自信のある企業であっても、知らないことを言うことができる。JBS はフォレンジック調査が進行中であると述べることによって、部分的にこれを行った。より充実した形では、どの結論が予備的であり、最終的な判断がいつ期待されるのかを定義するだろう。
最後に、公的部門は、企業の機微なデータを公開することなく、セクターレベルの教訓を公開すべきだ。CISA と FBI のガイダンスは既に一般的なランサムウェア管理策を提供しており、食品当局は家畜のタイミング、検査、コールドチェーン、市場データ、生産者コミュニケーション、小規模取引先支援を含む、ドメイン特有の継続性期待事項を追加できる。
教訓はパニックではない。証明である。
JBS ランサムウェア事件は、長期にわたる公的な食料不足を引き起こさなかった。これは重要な事実であり、誇張された物語を防ぐべきである。JBS は迅速に操業を復旧させ、バックアップ、対応チーム、政府支援、生産の優先順位付けに公式に謝意を表した。同社はまた高額の身代金を支払ったが、公開記録はその支払いが顧客を守るために必要だったのか、単に経営陣の観点から慎重だったのかを示していない。
したがって、この事例は証明の問題として読むのが最善だ。大手食品加工業者は迅速に復旧し得るが、セグメンテーション、データ保証、身代金ガバナンス、労働者の負担、生産者の遅延、顧客への割り当て、セクターレベルのレジリエンスに関する未回答の問いを残す。それらの未回答の問いは非難ではない。それらは、当面の見出しが薄れるや否や、重要な供給機能を私的なフォレンジック事項として扱うことの当然の帰結である。
食品・農業にとって、ランサムウェアのアカウンタビリティは実質的な支配に従うべきである。攻撃者は犯罪を支配した。JBS はアーキテクチャ、封じ込め、バックアップの準備、工場再開、支払いガバナンス、ステークホルダーコミュニケーションを支配した。公的機関は調整、攻撃者特定、市場監視、セクターガイダンスを支配した。生産者、労働者、より小規模な取引相手は往々にして最も少なく支配しながら、意味のある不確実性を吸収した。
それが永続する教訓である。迅速な復旧に対する正しい対応は、システムは安全であると宣言することではない。復旧が安全で、十分に完全で、公正に配分され、再び必要とされる可能性が低いことを証明する証拠は何かと問うことである。

