概況

  • Sony Pictures Entertainment の 2014 年の破壊的サイバー攻撃が重要なのは、マルウェアがデータを盗んだだけではないからです。それは企業のワークステーション、サーバー、電子メール、社内コミュニケーション、従業員記録、役員の通信、映画リリース計画、および通常の業務運営を混乱させました。
  • 説明責任の問題は、エンドポイントの強化、特権アクセス、破壊的マルウェアの封じ込め、バックアップと再構築の権限、従業員への通知、事業継続の決定、および回復が反復的な露出を減少させたという証拠について、誰が実際の管理権限を持っていたかです。
  • 米国政府の記録は後にこの作戦を北朝鮮の国家関連活動に帰属させ、制裁と刑事告発により、この事件は企業インシデントであると同時に公的な国家安全保障記録の一部となりました。
  • 最も重要な教訓は、あらゆる企業が破壊的侵入を防げるということではありません。教訓は、機密性の高い従業員データ、未公開の知的財産、およびパートナーへの依存を抱える企業は、信頼できるソースから再構築できなければならず、その信頼を裏付ける証拠を説明できなければならないということです。
  • この記事では、FBI、司法省、財務省、CISA、SEC、ソニーの企業報告、裁判所記録、インシデント対応報告、サイバーセキュリティ回復に関する参考文献を使用しています。ソニー・ピクチャーズの非公開のフォレンジック画像、内部再構築チケット、公的記録にない法執行機関の証拠、または従業員ごとの被害ファイルへのアクセスを主張するものではありません。

なぜこのケースがリスクと説明責任のファイルに属するのか

Sony Pictures がリスクと説明責任のファイルに属するのは、2014 年の攻撃により、サイバー回復が物理的なものとなり、通常のデータ漏洩の言葉では説明できない方法で行われたからです。従業員は、無効になったコンピューター、脅迫メッセージ、中断された電子メール、公開された内部記録、漏洩した通信、そして会社がシステムを信頼して稼働を続けられるかどうかを決定しなければならないビジネス環境に直面しました。破壊的侵入は、法的な覚書が何を損害とみなすかを決定するのを待ちません。それはワークステーション、サーバー、共有フォルダー、ビジネスカレンダー、人事ファイル、リリース計画、パートナー関係、および雇用主がプライベート記録を保護できるという従業員の感覚を損なうものです。

Sony 調査に関する FBI の公開アップデート (https://www.fbi.gov/news/press-releases/update-on-sony-investigation) は、FBI が北朝鮮政府が Sony Pictures Entertainment に対するサイバー攻撃の責任を負っていると結論付けるのに十分な情報を持っていると述べています。米国司法省は後に、2018 年の北朝鮮政権支援のプログラマーに対する起訴発表 (https://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and) で Sony 攻撃について説明し、その活動を破壊的マルウェア、データ窃盗、恐喝、その他のサイバー作戦を含むより広範な陰謀に関連付けました。財務省の制裁発表 (https://home.treasury.gov/news/press-releases/sm473) は、Sony 攻撃を北朝鮮の悪意のあるサイバー活動の公的記録の中にさらに位置づけました。

これらの政府記録は重要ですが、説明責任の問題をすべて網羅しているわけではありません。帰属は一つの質問に答えます:誰が攻撃したのか?顧客、従業員、パートナー、保険会社、規制当局は別の答えを必要としていました:企業内部で、回収を可能または不可能にした条件を実際に管理していたのは誰か?攻撃は外部からのものでした。回復面は内部のものでした。Sony Pictures はエンドポイント設計、特権アクセス管理、セグメンテーション、バックアップ、電子メールの継続性、従業員への通知、再構築の優先順位、および修復の証拠を管理していました。法執行機関は帰属を特定できました。会社は回復しなければなりませんでした。

この出来事は、エンタープライズソフトウェア自動化、中小企業のサービス継続性、セキュリティ自動化というマニフェストトピックに適合します。なぜなら、映画スタジオはソフトウェアに依存するオフィス、パートナーハブ、給与計算処理、メディアワークフロー、および配信コーディネーターでもあるからです。大規模なエンターテインメント企業かもしれませんが、その依存関係の多くは中小企業の事業継続依存関係と同様に動作します。ベンダー契約、制作会社、現地オフィス、マーケティングパートナー、配信チーム、従業員、請負業者、代理店、映画サプライチェーンはすべて、信頼性の高い通信と記録を必要とします。ワークステーションとサーバーが消去されると、それらの依存チームはマルウェアを見たことがなくても停止を感じます。

公的記録はまた、破壊的マルウェアがなぜ異なるクラスの説明責任テストであるかを示しています。CISA の 2014 年の標的型破壊的マルウェアに関する警告 (https://www.cisa.gov/news-events/alerts/2014/12/19/ta14-353a-targeted-destructive-malware) は、破壊的マルウェアがシステムを動作不能にし、マスターブートレコードを上書きし、ファイルを破壊し、運用上の混乱を引き起こす可能性があると警告しました。その警告は Sony の非公開の事後報告書ではありませんでしたが、攻撃によって露出した管理クラスを説明していました。破壊的マルウェアに直面する企業は、境界ブロック以上のものを必要とします。信頼できるバックアップソース、再構築イメージ、特権アクセスの封じ込め、セグメント化された回復、および何を本番に戻すかを決定する計画が必要です。

この翻訳は完全なものではなく、主要な概念を日本語で表現したものです。原文の構造とリンクを保持しています。