SOMPO CYBER SECURITY
IPA(独立行政法人情報処理推進機構)は、2023年1月、2022年に社会的に大きな影響を与えた情報セキュリティにおける脅威を「情報セキュリティ10大脅威 2023」として公表しています。
出典:IPA(独立行政法人情報処理推進機構)
これを踏まえ本コラムでは、組織に対する脅威の第1位から第3位までと、今回、圏外から第10位にランクインした「犯罪のビジネス化(アンダーグラウンドサービス)」の事例をまじえてご紹介します。
サイバーインシデントの回避、および再発防止のために、どのような対策に取り組むべきか。セキュリティベンダーと話し合う際に、ぜひお役立てください。
ランサムウェアは「身代金(Ransom)」と「ソフトウェア(Software)」からなる造語で、マルウェアの一種です。感染させたパソコンやサーバーのデータを暗号化したり、端末をロックして使用不可にしたりした上で、暗号解除のための身代金を要求してきます。業務に多大な影響がでるほか、身代金を支払ってもデータを復元できないケースも多く見受けられるため注意が必要です。近年では「二重脅迫型」と呼ばれるランサムウェア攻撃も見られ、この場合、データを暗号化するだけでなく、窃取し、身代金の支払いに応じない場合は、そのデータを公開すると更なる脅迫をしてきます。
二重脅迫型ランサムウェア攻撃
2022年に社会的にインパクトの強かったランサムウェアによる被害といえば、10月末に発生した医療機関への攻撃でしょう。委託業者のVPN装置の更新漏れから脆弱性が狙われて、結果、ランサムウェアの侵入を許し、ネットワークへも感染が拡大したケースです。通常診療に関わるシステムが完全に復旧したと周知されたのは、攻撃が発生してから2カ月以上たった2023年1月11日のことでした。
世界的に見ると、航空業界がランサムウェアをはじめとするサイバー攻撃の対象とされていることが増えているようです。2022年5月にはインドのスパイスジェット航空会社(SpiceJet airline)、8月には数多くの大手航空会社にテクノロジーを提供しているAccelya、11月にはアメリカのボーイング社の子会社であるJeppesenがランサムウェア攻撃の被害にあいました。
サプライチェーンを構成する中小企業や子会社にサイバー攻撃を仕掛け、大手企業へ侵入するサイバー攻撃の手口です。階層化された企業のつながりに目をつけたもので、企業の機密情報や顧客情報の窃取などを目的としています。
下位に位置する中小企業のセキュリティ対策は上位に位置する大手に比べて手薄になりがちなため、その脆弱性を突かれてサイバー攻撃が実行されるというわけです。前出の医療機関へのランサムウェア攻撃も入り口は委託先の業者であり、これに当てはまります。2022年を振り返ると、自動車関連企業のサイバーインシデントは多い時には月に複数回も発生していました。
2022年3月には日本の大手自動車メーカーに部品を納めている企業のドイツ現地法人が、また同月、同自動車メーカーの部品を製造する企業がそれぞれサイバー攻撃を受けたことが報告されています。
ドイツ現地法人へのサイバー攻撃は工場稼働に影響がでなかったものの、部品製造のサプライヤーへのサイバー攻撃は影響が大きく、この自動車メーカーは国内全工場の稼働を停止することになりました。この2件のインシデントは前出のランサムウェア攻撃によるものであったこともわかっています。
脆弱性を狙われないためにも、委託先や子会社などのいわゆるサードパーティのリスク評価を実施し、サプライチェーン全体における「サポートの切れたOSは使わない」またはVPN機器のような外部からのアクセスが可能なネットワーク装置も含め「最新のパッチを適用する」といった基本的なセキュリティ対策が必要になります。
標的型攻撃とは、機密情報の窃取を目的として、特定の企業や団体を狙って仕掛けられるサイバー攻撃のことです。長らくセキュリティ脅威として第1位でしたが、近年ではランサムウェアの台頭によって第1位の座を奪われています。
さまざまな手口がありますが、とくに業務関連のメールになりすましたウイルス付きメール(標的型攻撃メール)やWebサイトの改ざんが知られています。最適な手口をターゲットに合わせて選択しているため、標的型攻撃への対策は簡単ではありません。VPN機器への脆弱性を狙われたりアカウント情報を悪用されたりもするので、従業員のITリテラシーの向上も含めさまざまな角度から対策することが重要です。
2022年6月には、国内の調査会社がフィッシングメールの被害にあいました。従業員が業務関連と思わしきメールからフィッシングサイトにアクセスしたことにより、Microsoft 365のIDとパスワードが窃取されたものです。これにより社内外関係者の個人情報が漏えいした可能性があります。
2022年7月には、ヨーロッパのミサイルメーカーMBDAミサイルシステムズがサイバー攻撃の標的となり、従業員の個人情報のほか、NATOのカウンターインテリジェンスが脅威を回避するための操作手順などを含む機密情報が漏えいしました。
2022年10月には、オーストラリアの民間健康保険会社大手 Medibank へサイバー攻撃が仕掛けられたほか、不動産会社Harcourtsの顧客データベースに対しても第三者からの不正アクセスが検知されました。結果、970万人ものMedibankの顧客データやHarcourtsの顧客である貸主・借主の個人情報が流出の可能性が報告されています。
今回、第10位に圏外からランクインした「アンダーグラウンドサービス」とは、金銭目的のサイバー攻撃を支援する犯罪者間のエコシステムのことです。もともとサイバー攻撃においては、スキルをもつ愉快犯や政治信条の主張によるものが多く見られていました。
しかし近年では、悪意のあるコードをサービスとして流通できるRaaS(Ransomware as a Service)が登場するなどサイバー攻撃がビジネス化しています。アンダーグラウンド市場で攻撃ツールをサービスとして取り引きできることから、たとえスキルを持ち合わせていないサイバー攻撃者でも甚大な被害を与えることが可能になりました。サイバー攻撃におけるゲームチェンジャーと言っても過言ではありません。
たとえば、「オペレーター」と呼ばれるランサムウェアの開発者とランサムウェア拡散の実行役である「アフィリエイト」の2つの組織が分業体制を敷き、「RaaSビジネスモデル」を構築しているのが分かりやすい例です。
サイバー犯罪のビジネス化
儲かるビジネスモデルとして「ヒト」「カネ」を集めて急成長している点が、サイバー攻撃の手法が高度化する一因となっています。
近年では、組織的な犯罪へと成長したランサムウェアの脅威が増しています。サイバー攻撃のトレンドは毎年のように変わります。攻撃者から弱みにつけ込まれないためにも、定期的なリスクアセスメントで自組織のリスクの洗い出しを行ったり、サプライチェーンのリスク管理を行うなど、セキュリティ対策への投資は怠ることなく、随時見直して行きましょう。
セキュリティ強化を目的とした施策をセキュリティベンダーにご相談される際に、当コラムが役立てば幸いです。
当記事のようなサイバーセキュリティに役立つ記事やレポート、セミナーの最新情報をメールマガジンにてお知らせいたしますので、ぜひご登録ください。
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年4月 2024.4.17追記本記事公開後、当該脆弱性の悪用条件等の更新が行われています。最新の情報はP...
サプライチェーンリスク評価サービス『Panorays』の採用事例として、株式会社ダイフクさまにお話をうかがいました。 近未来を想像させる大阪市内にある真新しい本社ビルで、サプライチェーンリスク評価サービス『Panorays』の採用事例の取材をさせて頂いたのは、日本国内外でビジネスを大きく成長させている製造大手の株式会社ダイフクさまです。実際の運用はまだこれからという段階であり、採用に至った背景や理...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年3月 先般、自称ハクティビストグループであるAnonymous Sudanが新DDoS攻撃サービス「I...
当社が提供するサイバーリスクアセスメントやPanoraysを使った組織のセキュリティ態勢改善の事例を紹介します。 インシデントは対岸の火事ではないと理解し対策に乗り出す組織、理解しているもののどこから手を付けてよいかわからない組織、やるべきことはわかっているものの上層部の理解が得られない組織など、どの状況のどのフェーズにいても、参考になる材料が必ず見つかると感じるお話をDX認定事業者でもある応用地...