概要

  • JBS と公的機関による確認:JBS USA は2021年5月30日(日曜日)、北米およびオーストラリアの IT システムをサポートするサーバーに影響を及ぼす組織的なサイバーセキュリティ攻撃の標的となったと判断した。同社は影響を受けたシステムを停止し、当局に通報、社内外の対応チームを起動し、バックアップサーバーは影響を受けていないと発表した。その後 JBS は、6月3日までに全世界の施設が完全に稼働し、失われた食料生産は1日分未満であり、身代金として1100万ドル相当を支払ったと述べた。FBI はこの攻撃を REvil および Sodinokibi によるものと特定した。
  • 継続性の記録:この混乱は、食料供給の実務的な仕組みに影響を及ぼした。すなわち、屠畜スケジュール、工場の立ち上げ、出荷、顧客およびサプライヤーとの取引、家畜の流れ、政府による市場監視、小売業者やバイヤーの信頼である。JBS は6月1日にほぼすべての米国施設から製品を出荷し、生産に不可欠なシステムを優先したと述べたが、公開記録では工場ごとの生産能力曲線、顧客の遅延ログ、従業員の賃金記録、生産者の損失調整は公表されていない。
  • 限定的な技術説明:JBS は完全なフォレンジックレポートを公表しなかった。同社の声明では、初期アクセス経路、滞在時間、影響を受けたアプリケーション、セグメンテーション設計、正確な復旧手順、身代金交渉の経緯、保険の取り扱い、データ流出の結論に対する独立した検証は明らかにされていない。「コアシステム」や暗号化されたバックアップ、冗長システムに関する主張は、完全なアーキテクチャ監査としてではなく、企業声明として読むべきである。
  • 評価:犯罪者が侵入と恐喝の責任を負っている。JBS と公的パートナーは、結果の異なる部分を管理した。すなわち、システムの隔離、バックアップからの復旧、工場再開の順序、政府との調整、市場へのメッセージ発信、生産者と顧客の回避策、そして大部分の施設がすでに稼働していた後での支払いという物議を醸した決定である。この事例は、単なるサイバー犯罪の見出しではなく、食料継続性の説明責任記録となる。

食肉供給はタイミングシステムである

食肉処理は単なる工場の問題ではない。それはタイミングシステムである。牛、豚、家禽は、動物福祉、飼料コスト、労務、検査、冷蔵保管、輸送、小売販売促進、輸出契約を反映したスケジュールで到着する。一時停止する工場は、単にウェブページを閉じるわけではない。それは、動物が待つ場所、どの生産者が集荷を受けるか、どの労働者がシフトに報告するか、どのコールドチェーンの枠が使われるか、どの顧客が製品を受け取るか、どの市場価格が自信を持って観察できるかを変える。

これが、JBS のインシデントが単なるランサムウェア事件以上になった理由である。JBS USA の最初の公式声明では、同社が2021年5月30日(日曜日)に、北米およびオーストラリアの IT システムをサポートする一部のサーバーに影響を及ぼす組織的なサイバーセキュリティ攻撃の標的となったと判断したと述べた。同社は、影響を受けたシステムを停止し、当局に通報し、社内 IT 専門家とサードパーティの専門家を起動するという即時の措置を講じたと発表した。また、バックアップサーバーは影響を受けておらず、一部の顧客およびサプライヤー取引に遅延が生じる可能性があると警告した。(JBS 5月31日声明

この数行が説明責任記録の始まりである。ここから、この事象が停止するに値する重要なシステムに到達したこと、JBS が完全復旧よりも封じ込めを選択したこと、同社が顧客やサプライヤー取引への影響を理解していたこと、そしてバックアップが復旧の中心であったことがわかる。しかし、影響を受けたサーバーが生産スケジューリングシステム、ID システム、財務システム、ネットワークサービス、ファイルサーバー、工場インターフェース、あるいはそれらの組み合わせのいずれであったかは示されていない。また、攻撃者が検知される前にどこまで移動したかも示されていない。

混乱の期間が短かったことも重要であり、混乱した組織のカテゴリーも重要である。JBS は牛肉、豚肉、鶏肉、加工食品にわたる大手加工業者であり、生産者と小売およびフードサービス市場を結びつける業務を行っていた。米国サイバーセキュリティ・社会基盤安全保障庁(CISA)は、食料と農業を重要インフラ分野と位置付けており、その混乱が公衆衛生、安全、セキュリティ、経済活動に影響を及ぼしうるからである。(CISA 食料・農業分野概要)その規模での1日の中断は、裁量的なサービスでの1日の停止とは同じではない。

したがって、より良い問いは、あちこちで棚が空になったかどうかではない。そうはならなかった。問われるべきは、何が混乱を短期間に抑えたのか、どのコントロールが失敗したか、または公的に証明されなかったのか、そして JBS と公的機関が供給、価格、データリスクが封じ込められたと言えるようになるまでの間、誰が不確実性を抱えたのかである。

公開された時系列は簡潔だが示唆に富む

このインシデントの記録は異例なほど圧縮されている。5月31日、JBS は攻撃とその封じ込め措置について説明した。6月1日、JBS と Pilgrim's は、北米とオーストラリアの事業に影響を与えたサイバー攻撃の解決に大幅な進展があったと発表したが、メキシコとイギリスの事業は影響を受けなかった。JBS は、システムがオンラインに復帰しつつあり、サイバーセキュリティ計画を実行中であり、牛肉、豚肉、鶏肉、加工食品工場の大部分が翌日には稼働する見込みであると述べた。また、ほぼすべての米国施設から製品を出荷し、複数の豚肉、鶏肉、加工食品工場が稼働しており、カナダの牛肉施設も生産を再開したと述べた。(JBS 6月1日進捗声明

この6月1日の声明が重要なのは、IT 復旧を食品特有の義務と結びつけているからである。JBS は、システムが復号または再構築されているとだけ述べたのではない。チームメンバー、生産者、消費者に対する責任を認識しており、食料供給を守るために政府との電話会談が行われていると述べた。これらは飾りのカテゴリーではない。チームメンバーはシフトと安全に関する情報を必要とした。生産者は、家畜が受け入れられるかどうかを知る必要があった。顧客は出荷を必要とした。消費者と公的機関は、大手加工業者が共通の失敗要因になっていないという確信を必要とした。

6月2日、FBI はこの攻撃を REvil と Sodinokibi によるものと特定し、この事例を単独の企業インシデントではなく、より大きなサイバー犯罪取り締まり問題の一部として扱った。FBI の声明では、痕跡指標、技術的詳細、法的訴状は公表されなかった。しかし、ランサムウェアのエコシステムを公に特定し、被害者に対して速やかに通報するよう促した。(JBS に関する FBI 声明

6月3日、JBS は、5月30日に始まった犯罪的なサイバー攻撃が解決し、全世界の施設が完全に稼働したと発表した。同社は、迅速な対応、堅牢な IT システム、暗号化されたバックアップサーバーのおかげだとし、攻撃中に失われた食料生産は1日分の生産量未満に限定されたと述べた。さらに、全世界の事業で失われた生産は翌週末までに完全に回復すると付け加えた。また、侵入を隔離し、潜在的な感染を制限し、コアシステムを保護するために、自主的に全システムを停止したと述べた。(JBS 6月3日解決声明

6月9日、JBS は身代金として1100万ドル相当を支払ったことを確認した。同社は、支払い時点で大部分の施設が稼働しており、この決定は社内 IT 専門家とサードパーティ専門家との協議のもと、予期せぬ問題を軽減し、データが流出していないことを確実にするためになされたと述べた。また、予備調査の結果、企業、顧客、従業員のいずれのデータも侵害されていないことが確認されたと発表した。(JBS 6月9日身代金声明

この最後の声明により、単純な解釈は難しくなる。JBS は支払いを閉鎖された工場を再開する唯一の手段とは位置付けなかった。支払いが行われた時点で、大部分の施設はすでに稼働していたと述べた。したがって、この決定は、より狭いが依然として深刻なカテゴリーに属する。すなわち、業務の復旧が大幅に進んだ後に、残存リスク、データリスクの不確実性、復旧の不確実性を低減するために行われた支払いである。これは、バックアップがないために支払うこととは異なる。また、バックアップがすべての被害を解決するという理由で支払いを拒否することとも異なる。

確認されたこととされなかったこと

確認された事実は相当数ある。JBS はサイバー攻撃を特定し、影響を受けたシステムを停止し、影響を受けていないバックアップサーバーを使用し、当局に通報し、生産を迅速に復旧し、政府と調整し、顧客、サプライヤー、従業員のデータ侵害の証拠はないと述べ、後に1100万ドルの身代金支払いを開示した。FBI は攻撃を REvil と Sodinokibi によるものと特定した。

未確認の事実も同様に重要である。JBS は攻撃者の侵入方法を公表しなかった。攻撃者が環境内に存在した期間も公表しなかった。攻撃がリモートアクセスサービス、ID プロバイダー、エンドポイント、ベンダー接続、露出したサーバー、フィッシングメール、または侵害された認証情報から始まったのかを述べていない。暗号化されたシステム、安全のために隔離されたシステム、バックアップから復旧されたシステム、クリーンイメージから再構築されたシステムをリストアップしなかった。工場ごとのダウンタイム、独立したデータフォレンジックレポート、「コアシステム」が何を意味するのかの詳細な説明も提供しなかった。

これが重要なのは、短い停止によって説明責任が歪められる可能性があるからだ。インシデントが数日しか続かなければ、一般市民はコントロールが強固だったと推測するかもしれない。その推測は時として妥当である。迅速な封じ込め、影響を受けていないバックアップ、訓練された復旧手順、業務上の優先順位付けによって、潜在的には深刻な事象を限定的な混乱に変えることができる。しかし、同じ短さが、労働者、生産者、ロジスティクスパートナー、顧客、公共機関に転嫁されたコストを隠してしまうこともある。迅速な再開は、完全なコントロール報告ではない。

JBS 自身の文言は、強みと不完全さの両方を示している。バックアップサーバーが影響を受けなかったことは、特に生産再開と組み合わさると、強力なシグナルである。犯罪者がコアシステムにアクセスしなかったという主張は安心材料だが、それらのシステムの定義がなければ独立した検証はできない。データ侵害はなかったという予備的な結論は有意義だが、最終的なフォレンジック公開と同じではない。6月3日までに全世界的施設が完全に稼働したという企業声明は大きな復旧マイルストーンだが、その声明を実際に真実たらしめるために必要だった滞留、残業、出荷の遅れ、家畜の再スケジュール、調整作業を開示してはいない。

封じ込めはそれ自体の可用性ショックを生み出した

JBS は、侵入を隔離し、潜在的な感染を制限し、コアシステムを保護するために、自主的に全システムを停止したと述べた。これは防御可能なランサムウェア対応である。CISA のランサムウェアガイダンスでは、影響を受けたシステムを隔離し、拡散を防ぐために必要に応じてシステムをオフラインにすること、さらにオフラインバックアップ、復旧テスト、最小権限、パッチ適用、多要素認証、セグメンテーション、インシデント対応計画、コミュニケーションの統制を推奨している。(CISA StopRansomware ガイド

説明責任上の問題は、停止そのものが本質的に間違っていたかどうかではない。問題は、停止によって影響を受ける食料供給機能について、ビジネスにテスト済みの縮退モードがあったかどうかである。工場の再開は、単にサーバーを再起動するだけではない。従業員のスケジュール管理、衛生、安全確認、米国施設での USDA 検査、家畜受け入れ、ライン順序、包装、冷蔵保管、注文割り当て、輸送、請求、顧客コミュニケーションが必要である。ランサムウェア封じ込めの決定がこれらの機能を調整するシステムを停止させるならば、組織はどの工場を最初に稼働させ、どの義務を優先させるかを決定するための代替手段を必要とする。

通常のランサムウェア分析では、「可用性」はしばしばファイルやアプリケーションを意味する。食肉加工業者においては、可用性とは、家畜を受け入れられ、動物を必要以上に長く保持せず、労働者は出勤すべきかどうかを知り、工場は安全に操業でき、製品はコールドチェーンを通じて移動でき、顧客は計画を立てるのに十分な正確な情報を受け取れることも意味する。これらはサイバーセキュリティから切り離されたものではない。それらは、サイバーセキュリティの現実世界の攻撃対象領域である。

6月1日の JBS の更新では、工場の操業がまだ再開中であるにもかかわらず、ほぼすべての米国施設から製品が出荷されたと述べられている。これは、少なくとも一部の在庫と物流能力が最初のデジタルショックを生き延びたことを示唆している。また、継続性の問題には階層があることを示している。既存の製品を出荷することは、全面的な屠畜と処理を復旧することと同じではない。複数の豚肉、鶏肉、加工食品工場を稼働させることは、すべての牛肉生産能力を戻すことと同じではない。カナダの牛肉施設が生産を再開したことはマイルストーンだが、完全な北米のマップではない。

したがって、JBS にとって最も強力な公開証拠は、同社が決して脆弱ではなかったということではない。それは、システムを隔離し、バックアップを使用し、生産に不可欠なシステムを優先し、迅速に再開できたことである。残る疑問は、再開が生産者、労働者、顧客にわたって持続可能で、安全で、公平であったことを示す証拠は何か、ということだ。

身代金支払いは技術的な脚注ではなく、ガバナンス上の決定だった

1100万ドルの支払いは、しばしば見出しとして記憶される。それは、技術的、法的、倫理的、保険的、公共の利益の観点から、ガバナンス上の決定として分析されるべきである。

JBS は、支払い時点で大部分の施設が稼働していたと述べた。この一点が、「生産再開のために支払った」という単純なストーリーを妨げる。同社は支払いを、予期せぬ問題を軽減し、データが流出していないことを確実にするための手段と位置付けた。それでもなお、これは重大な主張である。つまり、経営陣は、復旧後の残存リスクが犯罪者への多額の支払いを正当化すると信じたか、または助言されたということだ。公開記録からは、具体的なリスク分析、身代金要求額、交渉の記録、制裁スクリーニング、取締役会の関与、保険会社の関与、法執行機関の指導、あるいは支払いが実際にデータ流出の確率を変えたのかどうかは明らかになっていない。

FBI の公式ガイダンスは、身代金を支払っても復旧が保証されたり、データ漏洩が防止されたりするわけではなく、支払いがさらなる攻撃を助長すると警告している。2021年の一連のインシデント後の FBI の証言でも、FBI は支払いを思いとどまらせつつも、被害者には支払い決定にかかわらずインシデントを報告するよう促したことを強調した。(FBI ランサムウェア証言)だからといって、すべての支払いが法的に禁止されているわけではなく、また取締役会が差し迫った被害を評価する緊急の義務を解決するものでもない。しかし、大手重要インフラ企業による支払いには外部効果があることを意味している。

食料供給において、外部効果は明らかである。支払いが不確実性を減らし、クリーンな再開を支援するならば、生産者、労働者、小売業者、消費者への短期的な被害を軽減するかもしれない。それが、他の事業者を攻撃するのと同じ犯罪エコシステムに資金を提供するならば、病院、学校、小規模加工業者、公共機関への長期的なリスクを増大させるかもしれない。JBS の公式声明は、外部者がこれらの影響を衡量するのに十分な証拠を公表しなかった。

だからこそ、身代金の決定はコントロール記録を生み出すべきである。その記録は、誰が支払いを承認する権限を持っていたのか、どのような代替手段が利用可能だったのか、どのシステムがすでに復旧していたのか、どのデータリスクの証拠が未解決のまま残っていたのか、どのような法執行機関との協議があったのか、どのような制裁スクリーニングが完了していたのか、保険会社の役割は何だったのか、顧客やサプライヤーのどのような利益が考慮されたのか、そして支払い後にどのような保証が実施されたのかを特定すべきである。一般市民はすべての機微な詳細を必要としない。しかし、評判管理、不確実性の購入、準備不足から、真の緊急必要性を区別するのに十分な情報は必要である。

公的機関が継続性の一部となった

JBS はホワイトハウス、USDA、FBI、および外国政府に繰り返し謝意を表明した。同時期に Reuters が報じ、Business Insurance が転載した政権の公式見解によると、JBS は米国政府に対し、ランサムウェアの被害者であると伝え、USDA は同社幹部と数回話し合い、FBI が捜査中であり、米国はロシアを拠点とする可能性が高いとされる犯罪組織をめぐってロシアと協議していると述べた。(Business Insurance / Reuters の記事)また、The Guardian もホワイトハウスの見解と、敏感な時期に大手食肉工場の停止が供給に影響を与えうるという懸念を報じた。(Guardian の報道

公的セクターの継続性には二つの役割があった。第一は技術的・調査的な役割である。被害者を支援し、可能な場合は原因を特定し、証拠を収集し、他の重要インフラへのリスクを低減することだ。第二は市場向けの役割である。大手加工業者での短期的な中断が供給や価格の問題を引き起こすかどうか、また他の加工業者が追加の生産能力を提供できるかどうかを判断することだ。食料機関はプライベートネットワークにパッチを当てることはできないが、処理量を監視し、業界関係者とコミュニケーションをとり、回避可能なパニックを防ぐ手助けはできる。

USDA の役割は特に重要である。なぜなら、公的な市場情報は食料システムのコントロール面の一部だからだ。USDA の市場ニュースシステムや家畜報告は、生産者、バイヤー、政策立案者が現状を理解するのに役立つ。(USDA 農業マーケティングサービス市場ニュース)大手加工業者に影響を与えるインシデントが発生した場合、公的セクターが屠畜率、卸売価格、家畜の移動、コールドチェーンの状況を観察する能力は、安定化機能となる。

この計画の文脈は JBS 以前から存在するが、なぜ民間のインシデントが公的な調整タスクになり得るかを説明している。連邦政府の食料・農業セクター計画は、レジリエンスを生産、加工、流通、関連サービスにわたる官民共同の取り組みと位置付けている。(食料・農業セクター別計画)FDA の食品防衛資料も同様に、食品システムのセキュリティを単一企業の問題ではなく、連携した準備態勢の機能として扱っている。(FDA 食料・農業セクター活動)CISA のより広範な重要インフラ分類では、民間の業務停止が公共の影響を生み出し得る他のセクターと並んで、食料と農業を位置付けている。(CISA 重要インフラセクター

これは、政府が JBS の内部統制に責任を負うことを意味しない。民間セクターのサイバーインシデントが、企業が引き続き主要な事業者である場合でも、公的セクターの継続性業務を引き起こし得ることを意味する。したがって、この事例は通常の事業中断と国家的レジリエンスの中間に位置する。食料サプライチェーンは大部分が民間である。その障害モードは依然として公共の問題になり得る。

市場への影響は現実的だったが、公開記録では限定的だった

ニュース報道では、米国、カナダ、オーストラリアの JBS 工場での一時的な停止が伝えられ、アナリストは牛と豚の屠畜頭数を注意深く見守った。Business Insurance が転載した Reuters の記事は、USDA の推計を引用し、6月1日の牛と豚の屠畜頭数が前週および前年と比べて減少したと伝えた。これらの数字は有用な文脈だが、JBS 単独の損失数値として過大解釈すべきではない。屠畜推計は、休日、人員配置、工場スケジュール、季節パターン、無関係な供給状況などの理由で変動する。

JBS 自身の6月3日の声明は、最も明快な企業生産の主張を提供した。攻撃中に失われた食料生産は1日分の生産量未満に限定され、全世界の事業で失われた生産は翌週末までに完全に回復するというものだ。これは強力な主張である。同時に、企業の推定でもある。公開記録には、その生産損失指標の独立した検証は含まれておらず、復旧生産に残業、ライン変更、サプライヤーの再スケジュール、製品構成の変更、輸出の遅延、顧客の代替が必要だったかどうかも示していない。

オーストラリアの記録は、国際的な側面を示している。オーストラリアサイバーセキュリティセンター(ACSC)の2020-2021年年次脅威報告書は、オーストラリアのメディア企業と JBS Foods へのランサムウェア攻撃を、犯罪者が知名度の高い組織とより高額の身代金へと移行している証拠として挙げた。(ACSC 年次サイバー脅威報告書 2020-2021)この枠組みは有用である。なぜなら、JBS の事象を米国の食肉供給の話だけではなく、世界的なランサムウェア経済の中に位置づけるからだ。

限定的な結論としては、JBS の中断は複数の政府を動かし、複数国の工場操業に影響を与え、公開市場の監視を引き起こすほど深刻だったということだ。また、JBS によれば、世界的な生産損失は限定的で回復可能なほど短かった。食料供給が崩壊したという劇的な主張を裏付ける証拠はない。しかし、ランサムウェアが、物理的な不足が消費者に見える前に、いかに集中化されデジタルに依存した食料加工が継続性の懸念になり得るかを一時的に露呈したという、より規律ある主張を裏付けるものではある。

労働者が最初の業務上の不確実性を担った

継続性分析では、労働者はしばしばコストカテゴリーとして扱われる。この事例では、彼らはまた最初のフォールバック層でもあった。

工場の従業員は、シフトが行われているか、ラインが安全に操業できるか、勤怠管理や給与システムが影響を受けているか、衛生管理や検査の手順が準備できているか、監督者が変更を伝達できるか、遅延が勤務時間や賃金に影響するかどうかを知る必要があった。JBS の公式声明はチームメンバーに感謝し、業務チームが復旧の中心であると述べたが、労働者レベルの詳細は提供しなかった。

詳細がないことは重要である。なぜなら、労働力は「システムがオンラインに戻りつつある」ことと「通常業務が再開した」こととの差を吸収するからだ。工場は段階的に再開されるかもしれない。作業員は帰宅させられたり、呼び戻されたり、清掃に再配置されたり、残業を求められたり、家畜や設備のスケジュールがリセットされる間、待機させられたりする。一部の労働者は労働時間を失うかもしれないし、他の労働者は急増する仕事を経験するかもしれない。デジタル保守、スケジューリング、コミュニケーションシステムが損なわれている場合、安全に関する不確実性に直面する者もいるかもしれない。

これは、JBS が労働力を不適切に扱ったという主張ではない。公開記録はその結論を支持していない。これは、食料供給のサイバーインシデントが生産量だけで評価されるべきではないという主張である。労働者の継続性は食料継続性の一部である。事業者が、失われた生産は翌週までに回復したと言うならば、完全な説明責任記録には、人件費、残業、シフトの欠勤、安全確認、労働者とのコミュニケーションがどのように処理されたかも示されるべきである。

ここで、中小企業(SME)の継続性がこの事例に関わってくる。JBS は小規模企業ではないが、工場周辺の多くの労働者、請負業者、運送業者、地元サービスプロバイダー、農場は、多国籍加工業者よりも薄いバッファーで事業を行っている。企業にとっては管理可能な2日間のスケジュールの不確実性が、小規模なトラック運送業者、地元のメンテナンス業者、あるいは集荷を待つ動物を抱える生産者にとっては重大であり得る。大企業の復旧時計と小規模な取引相手の流動性時計は同じではない。

生産者と家畜が停止を時間的制約のあるものにした

データセンターの停止では、ワークロードは時として待つことができる。食肉サプライチェーンでは、動物は成長し続け、世話を必要とする。飼料コストは続く。保留スペースは有限である。動物福祉と品質の制約がプレッシャーを生む。短い中断後の工場再開でも、生産者や運送業者には、加工業者の見出しになる生産損失数値には決して現れない再スケジュールの問題が残り得る。

JBS の6月1日の声明は、生産者をステークホルダーグループとして認識していた。それは正しいカテゴリーだった。この文脈において、生産者は通常のベンダーではない。彼らは生きた在庫を管理する上流の事業者である。加工業者のダウンタイムは、動物が移動する時期、給餌期間、履行される契約、利用可能な代替工場を変え得る。集中化された市場では、代替生産能力は限定的か、地理的にコストがかかる可能性がある。

これが、公的機関が供給と価格の問題を監視した理由でもある。問題は、消費者が空の棚を目にするかどうかだけではなかった。一時的な加工のボトルネックが、小売に川下の影響が現れる前に、コストと不確実性を農家や牧場主に川上へと押し上げるかどうかだった。堅牢な継続性記録は、生産者にどのように通知されたか、配送がどのように優先されたか、すでに輸送中の動物がどのように扱われたか、契約が遅延にどのように対処したか、小規模生産者が不均衡な被害を受けたかどうかを示すだろう。

公開記録は、こうした生産者への影響を定量化していない。その不確実性は、作り上げられた数字で埋められるべきではない。それは、説明責任記録のギャップとして保存されるべきである。JBS は多くの生産者の問題にうまく対処したかもしれない。利用可能な公開証拠は、単に外部者がその配分を検証することを許さない。

セグメンテーションは隠れたコントロールの問題である

JBS は、攻撃が北米とオーストラリアの IT システムをサポートする一部のサーバーに影響を与えたと述べた。また、犯罪者はコアシステムにアクセスせず、同社は侵入を隔離しコアシステムを保護するためにシステムを停止したとも述べた。これらの声明はセグメンテーションを直接指し示しているが、評価するのに十分な詳細を明らかにしていない。

この設定におけるセグメンテーションには、いくつかの層がある。企業 IT、工場操業、安全システム、ロジスティクス、財務、バックアップの間のネットワークセグメンテーションがある。一般ユーザー、管理者、サービスアカウント、サードパーティサポートの間の ID セグメンテーションがある。注文管理、工場スケジューリング、コールドチェーンシステム、輸出書類、給与、顧客ポータル間のアプリケーションセグメンテーションがある。国や事業単位間の地理的セグメンテーションがある。稼働中のインフラと復旧用コピーの間のバックアップセグメンテーションがある。

JBS の6月1日の声明によれば、メキシコと英国の事業が影響を受けなかったという事実は、インシデントがすべての地域に均一に伝播しなかったことを示唆している。北米とオーストラリアのシステムが影響を受けたという事実は、それらの地域にわたる共有サービスか共通の対応決定を示唆している。バックアップが影響を受けなかったという事実は、生産インフラと復旧インフラの間にある程度の分離があることを示唆している。そのいずれも、理想的なアーキテクチャを証明するものではない。

関連する説明責任のテストは、攻撃者が1台のサーバーに到達したかどうかではない。1つの管理プレーン、ID ドメイン、ファイルサービス、リモートアクセス経路、またはビジネスアプリケーションの侵害が、そうでなければローカルで稼働できたかもしれない工場の広範な停止を引き起こし得たかどうかである。成熟した事後記録は、どの機能が侵害されたために利用不能になったか、どの機能が意図的に隔離されたために利用不能になったか、どの機能が手動で継続されたか、どの機能が独立して稼働可能だったかをマッピングするだろう。

そのマップがなければ、一般市民はインシデントが迅速に封じ込められたことは知ることができるが、封じ込めが強力なセグメンテーション、幸運、迅速な支払い、攻撃者のアクセス範囲の狭さ、事前に計画された復旧、あるいはそれらの組み合わせに依存したのかどうかを知ることはできない。

バックアップは必要だが、完全な継続性の答えではない

JBS はバックアップサーバーと暗号化されたバックアップを繰り返し強調した。それは合理的だった。ランサムウェア防御において、保護されテストされたバックアップは、しばしば制御された復旧と恐喝への依存を分けるものである。CISA と FBI のガイダンスは一貫して、組織に対し、オフラインまたはその他の方法で保護されたバックアップ、テストされた復旧手順、インシデント対応計画、最小権限管理を推奨している。(FBI ランサムウェア安全ガイダンス

しかし、バックアップは食料供給の問題の一部にしか答えない。バックアップはデータとアプリケーションを復旧させるかもしれない。しかし、環境がクリーンであるという確信を自動的に回復させるわけではない。どの工場を最初に起動するかを決定しない。牛や豚の配送を再シーケンスしない。注文状況が不明瞭な場合、顧客の信頼を維持しない。欠勤した時間に対して労働者に補償しない。規制当局や公的機関に対して、価格変動がサイバー混乱を反映しているのか、通常の市場変動性なのかを伝えない。

JBS の事例はその違いを示している。JBS はバックアップが迅速な復旧を支えたと述べたが、それでも同社は大部分の施設が稼働した後に1100万ドルを支払った。つまり、バックアップは重要だったが、経営陣の判断では残存リスクを排除するには十分ではなかったということだ。支払いは、データリスクへの懸念、復号ツールの保証、脅威アクターの約束、事業上の圧力、法的助言、あるいはそれらの組み合わせによって動機づけられた可能性がある。公開記録はそれを示していない。

他の食料事業者にとっての教訓は、バックアップテストにはプロセステストを含めるべきだということだ。中央のスケジューリングが利用できない場合、工場はシフトを稼働できるか?信頼できるローカルコピーに基づいて出荷をリリースできるか?検査、衛生、保守、品質の記録をオフラインで取得し、突き合わせできるか?電子メールや通常のポータルがダウンしているときに、生産者や運送業者は認証されたステータス更新を受け取れるか?給与や勤怠管理は再構築できるか?それらは食料継続性のテストであり、一般的な IT テストではない。

データ保証は企業が管理する主張にとどまった

JBS は、顧客、サプライヤー、従業員のデータが侵害または悪用された証拠は認識していないと述べ、後に予備調査の結果、企業、顧客、従業員のいずれのデータも侵害されていないことが確認されたと述べた。ランサムウェアグループはしばしば暗号化とデータ盗難を組み合わせるため、これは重要な声明である。

それでもなお限定的である。公開記録には、フォレンジック手法、調査されたログ、時間枠、対象システム、「侵害」の定義、あるいはデータが準備されたが除去されなかったかどうかは含まれていない。また、後日の独立した評価も含まれていない。JBS の6月9日の声明自体、サードパーティによるフォレンジック調査が進行中であり、最終決定は下されていないと述べていた。その注意喚起は、事例が語り直されるたびに付随すべきである。

データ保証は、顧客と同じくらいサプライヤーや従業員にとって重要である。食肉加工業者は、給与情報、安全衛生記録、ベンダーの銀行詳細、生産者契約、顧客価格、輸出書類、物流記録を保持し得る。企業がそのようなデータは侵害されなかったと言えば、影響を受けた当事者は安心できる。その結論が予備的なものであれば、彼らは依然としてリスクを監視する必要があるかもしれない。公開記事はそのギャップを解決できない。ただ、その区別を明確に保つことしかできない。

重要インフラの地位は民間の管理を消し去らない

食料と農業の重要インフラは、業務上の管理の多くが民間の手にあるという点で特殊である。公的機関は助言し、調整し、調査することはできるが、JBS の工場を運営するわけではない。これは、繰り返し起こる説明責任の緊張を生む。インシデントが供給を脅かすとき、公共の利益が存在する。インシデント記録が技術的かつ商業的である場合、証拠の多くは非公開のままである。

JBS の事象は、この緊張を明瞭に示している。連邦および外国の当局者が迅速に関与した。FBI は攻撃者を特定した。USDA は潜在的な供給と価格の問題を監視した。オーストラリア当局は、この事象を深刻なランサムウェアのトレンドの一部と見なした。しかし、主要なアーキテクチャの事実は、企業とその対応チームの内部にとどまった。

これは、JBS が攻撃者の助けになるような機微な詳細を公開しなければならなかったという意味ではない。重要インフラ事業者は、急性期の後に構造化された保証を提供できるべきだということである。有用な保証報告書は、IP アドレス、ソフトウェアバージョン、フォレンジック指標を開示する必要はない。影響を受けた機能、封じ込めの決定、バックアップのパフォーマンス、手動による継続性の能力、生産者や顧客とのコミュニケーション、データリスクの結論、復旧のマイルストーン、規制当局との調整、改善された管理策といったカテゴリーを開示することができる。

このような報告はセクターの利益になる。「大手企業が迅速に復旧」という見出しから、小規模な加工業者や農業ビジネスが学べることはほとんどない。どの依存関係が遅延を生んだか、どのバックアップが重要だったか、どの通信チャネルが保持されたか、どの手動プロセスが負荷に耐えられなかったかを知ることから、より多くを学べる。

ランサムウェア政策はサプライチェーンの現実に直面した

FBI は身代金支払いを思いとどまらせている。その立場は、支払いが犯罪事業に資金を提供し、復旧や機密性を保証しないため、システム上の政策として妥当である。同時に、生産、データ、顧客被害に関する不確実性に直面する食料事業者は、支払いを短期的なリスク削減ツールと見なすかもしれない。この対立は、願望で消し去ることはできない。

これを乗り越える道は証拠である。重要インフラ企業が支払った場合、たとえ一部の業務詳細が非公開のままでも、後日、決定のカテゴリーを説明できるべきである。人命の安全が危険にさらされていたか?生産は依然として実質的に停止していたか?バックアップは利用不能または信頼できなかったか?データ盗難は独立して確認されたか?規制対象のデータタイプが関与していたか?支払い前に法執行機関に通報されたか?制裁リスクは評価されたか?支払いは保険でカバーされていたか?影響を受けた顧客やサプライヤーに何か重要なことが伝えられたか?再発リスクを減らすために、どのような管理策が後日変更されたか?

JBS の事例では、公開事実はこれらの質問の一部にしか答えていない。JBS によれば、支払い時点で施設はほとんど稼働していた。JBS は社内外の専門家に相談していた。政府とのコミュニケーションは継続的だった。予備調査ではデータ侵害は特定されなかった。同社は予期せぬ問題を軽減し、データ流出がないことを確実にしたいと考えていた。欠けているのは、基礎となるリスクモデル、検討された代替案、支払い後の保証である。

その結果、この事例は身代金論争の両陣営が誤用できるものとなっている。支払い擁護派は、企業が復旧し食料供給を守ったと言える。支払い批判派は、復旧がほぼ完了した後に犯罪者に報酬を与えたと言える。より正確な見方はより狭い。すなわち、大手食料加工業者が、迅速な復旧の後、残存する不確実性の下で多額の支払いを行い、公開証拠はその支払いが被害を実質的に軽減したかどうかを示していない事例である。

集中化が企業のダウンタイムをセクターの不安に変えた

このインシデントが強い注目を集めたのは、JBS が大規模だったからだ。集中化された処理能力は、単一企業の停止を生産者、顧客、政府監視機関にとっての問題に変える。これは集中化が侵入を引き起こしたという主張ではない。集中化が業務上の混乱の影響範囲を変えるという主張である。

小規模な工場が停止しても、地元の生産者や顧客は依然として重大な損害を被り得る。非常に大規模な加工業者が複数の地域で停止すれば、市場参加者は国内または国境を越えた処理量を心配する。他の加工業者は追加の生産能力を提供するよう求められるかもしれない。公的機関は価格と供給への影響を注視するかもしれない。小売業者やフードサービスバイヤーは注文や在庫を調整するかもしれない。混乱が短くても、不確実性は迅速に広がる。

その不確実性それ自体が害である。生産者は移動を遅らせるかもしれない。バイヤーは代替製品を探すかもしれない。競合他社はスケジュールを変更するかもしれない。労働者は不完全な情報を受け取るかもしれない。政府関係者は調整に時間を費やすかもしれない。消費者は実際の不足が現れる前に見出しに反応するかもしれない。これが JBS の迅速な公式声明が重要だった理由である。それらは、日付、地域、復旧の見通し、データリスクに関する声明を示すことで不確実性を低減した。

それらはすべての不確実性を排除したわけではなかった。完全な再開曲線を公表しなかった。他の加工業者や公的機関が行った作業を定量化しなかった。小規模な取引相手がタイミングとキャッシュフローの影響からどのように保護されたかを示さなかった。中心的な説明責任の問題は残る。集中化されたサプライチェーンにおいて、短期的な停止が本当に限定的だったと一般市民が信頼できるようになるまでに、支配的事業者はどれほどのレジリエンスを証明しなければならないのか?

食料供給のサイバーインシデント後に良い証拠とはどのようなものか

JBS の事例は、将来のインシデントに対する実用的な証拠基準を示唆している。

第一に、事業者は企業ステータスだけでなく、機能別の業務時系列を開示すべきである。「システムがオンラインに復帰しつつある」では、家畜受け入れ、屠畜、処理、包装、冷蔵保管、出荷、注文管理、サプライヤー取引、給与、顧客サポートの個別の状況よりも有用性が低い。

第二に、事業者は侵害されたシステムと予防的に隔離されたシステムを区別すべきである。それにより、外部者は被害が攻撃者の制御、防御的封じ込め、または依存関係の設計のいずれから生じたかを理解しやすくなる。

第三に、事業者はバックアップのパフォーマンスを業務上の用語で報告すべきである。どの機能がバックアップから復旧されたか?復旧されたデータはどの程度最新か?検証にどれだけ時間がかかったか?どの手動記録を突き合わせる必要があったか?

第四に、事業者はステークホルダーコミュニケーションのカテゴリーを公表すべきである。生産者、労働者、運送業者、顧客、規制当局、公的機関はそれぞれ異なる事実を必要とする。単一のプレスリリースですべてを伝えることはできない。

第五に、事業者は身代金決定のガバナンスを高レベルで説明すべきである。それは、権限、代替案、法執行機関との接触、制裁スクリーニング、保険の関与、支払い後の保証のカテゴリーを意味する。

第六に、事業者は残存する未知事項を特定すべきである。自信のある企業は、知らないことを依然として言える。JBS は、フォレンジック調査が進行中であると述べることで部分的にこれを行った。より豊かなバージョンでは、どの結論が予備的であり、いつ最終判断が期待されるかを定義するだろう。

最後に、公的セクターは機密性の高い企業データを公開することなく、セクターレベルの教訓を公表すべきである。CISA と FBI のガイダンスはすでに一般的なランサムウェア対策を提供している。食料機関は、家畜のタイミング、検査、コールドチェーン、市場データ、生産者コミュニケーション、小規模取引相手のサポートを含む、ドメイン固有の継続性期待を追加できる。

教訓はパニックではない。証明である。

JBS のランサムウェアインシデントは、長期にわたる公共の食料不足を引き起こさなかった。これは重要な事実である。誇張された物語を防ぐべきである。JBS は迅速に操業を復旧し、バックアップ、対応チーム、政府の支援、生産優先順位付けを公に称賛した。同社はまた多額の身代金を支払ったが、公開記録はその支払いが顧客を保護するために必要だったのか、経営陣の観点から単に慎重だったのかを示していない。

したがって、この事例は証明の問題として読むのが最善である。大手食料加工業者は迅速に復旧できても、セグメンテーション、データ保証、身代金ガバナンス、労働者の負担、生産者の遅延、顧客への割り当て、セクターレベルのレジリエンスに関する未解決の疑問を残し得る。それらの未解決の疑問は非難ではない。それらは、差し迫った見出しが薄れると、重要な供給機能を私的なフォレンジック案件として扱うことの自然な帰結である。

食料と農業にとって、ランサムウェアの説明責任は実質的な管理に従うべきである。攻撃者は犯罪を管理した。JBS はアーキテクチャ、封じ込め、バックアップの準備、工場再開、支払いガバナンス、ステークホルダーコミュニケーションを管理した。公的機関は調整、攻撃者の特定、市場監視、セクターガイダンスを管理した。生産者、労働者、小規模な取引相手は、多くの場合、もっとも少ない部分しか管理できなかったが、意味のある不確実性を吸収した。

それが不朽の教訓である。迅速な復旧に対する正しい反応は、システムは安全だと宣言することではない。復旧が安全で、十分に完全で、公正に割り当てられ、再び必要とされる可能性が低いことを証明する証拠は何かを問うことである。

タイポグラフィ

タイポグラフィとは、文字を読みやすく、判読しやすく、視覚的に魅力的にするために文字を配置する技術と技法である。書体、ポイントサイズ、行長、行間、文字間隔の選択を含む。

  • タイポグラフィは、15世紀にヨハネス・グーテンベルクによる活版印刷の発明に端を発する。
  • 主要な要素には、フォント選択、カーニング、トラッキング、リーディングが含まれる。
  • 優れたタイポグラフィは可読性を高め、デザインにおけるムードやトーンを伝える。