2023/02/13
不安定な世界情勢を背景に、サイバーインシデントの脅威が深刻化している。ランサムウェア(身代金要求型ウイルス)による被害拡大や情報流出、サイバー攻撃集団による国家への攻撃等、悪質性は高まるばかりだ。今後デジタル社会をさらに発展させていく中で、われわれはどのように身を守っていけばよいのか。今回は経産省のサイバーセキュリティ課長に、サプライチェーンを構成する中小企業がサイバー攻撃の脅威にさらされている実態について、そして経営者のリーダーシップで企業に徹底してもらいたいサイバーセキュリティ対策や体制確立の具体策について解説してもらった。
経済産業省商務情報政策局サイバーセキュリティ課長
奥田 修司氏
Tweet
凶悪化し増大するサイバー攻撃
デジタル化の進展で社会生活・経済活動がますます便利になっています。一方、サイバー攻撃を仕掛ける側からみると、現在はより一層、攻撃がしやすくなった時代と言えるかもしれません。例えばコロナ禍をきっかけに普及したテレワークでは、一般的にVPNという仮想の専用回線を使って、社員が自宅等からでも会社のシステムにアクセスし業務を行う手法が使われていますが、このVPN機器の脆弱性を狙った手口も増えています。メーカー側は脆弱性を発見し次第すぐ対応策を公表し、アップデートするよう呼び掛けていますが、全てのユーザーがすぐアップデートに対応できるとは限りません。
攻撃者も多様化してきました。悪意あるソフトウェアの作成は、高度な技術を要するため、誰でもできることではありませんが、最近ではそれらのソフトウェアを使うだけなら容易になりました。ツール作成者が攻撃する人を募集したり、攻撃者がツール作成者を探して利用料を払ったりと、ダークウェブの中で相互につながりあい、攻撃を仕掛けてきます。
2022年の9月6日、ロシアのハクティビストからと見られるサイバー攻撃を受けて日本の政府機関が運営するWebサイトのいくつかでアクセス障害が引き起こされました。これは「DDoS攻撃」と呼ばれる、大量の情報を送り込んでシステムをダウンさせる単純な攻撃でしたが、ただちに犯人を特定しづらい点がサイバー攻撃の特徴です。ウクライナ侵攻を批判する国に対して抗議する意味の攻撃だったようですが、それが分かったのは「キルネット」という集団が犯行声明を出したためでした。この集団は組織として体を成しているわけではなく、同じ思想を持った人をネット上で呼び集めてグループを作っています。高まるサイバー攻撃のリスクを改めて認識する事件でした。
企業から社内システムのログインアカウントのIDやパスワードを盗んでは、単純にそれを売って商売にしているような人たちもいます。サイバー攻撃に要するコストや労力が下がってきており、結果として、ターゲットは必ずしも莫大な身代金を支払える大企業だけではなくなっている、と言えます。
「情報セキュリティ10大脅威」ランサムウェアが1位に
経済産業省の政策実施機関であるIPA(情報処理推進機構)では毎年、国内のセキュリティ専門家にアンケートをとって、組織・個人それぞれの被害状況等から脅威を選出し、上位10項目を「情報セキュリティ10大脅威」として発表してきました。2022年組織版のランキングでは、去年に引き続き第1位に〝ランサムウェアによる被害〟が選ばれています。
ランサムウェアは、攻撃者がシステムへ侵入し、暗号化をした上で、企業へ身代金を要求するものです。システムを暗号化する前に情報を抜き取り、それを公開されたくなければ身代金を払えという二重で脅迫するケースも増えており、悪質度を増しています。アメリカでは2021年5月に、パイプライン大手企業がランサムウェアの攻撃を受けて石油のパイプラインの一時停止を余儀なくされ、米運輸省が燃料輸送に関する緊急措置の導入を宣言する事態に発展するなど、社会に大きな影響を与えました。わが国でも2021年10月に公立病院がランサムウェア攻撃を受けて電子カルテが暗号化されてしまい、新規の患者の受け入れができなくなった報道は記憶に新しいところですが、このように勝手に暗号化されるとシステムが使えなくなって事業が止まってしまうのです。
ランキング第2位の「機密情報の窃取」は、システムの中から機密情報を盗み取っていく形のものです。サイバー犯罪のなかでは古くからある手法と言えますが、被害に気付かないで何カ月も攻撃されていたというようなケースもあります。第3位の脅威は、「サプライチェーンの弱点を悪用した攻撃」。サプライチェーンが広範につながる中で、攻撃の連鎖が広がっていきます。これらに加え最近の傾向としては昨年から、「内部不正による情報漏えい」が第5位にランクインしたことも挙げられるでしょう。脅威は外部からのサイバー攻撃だけではない、ということです。
〝普通のメール〟にも潜むマルウェア「Emotet(エモテット)」
2019年11月頃、あらゆる攻撃の拠点になり得るマルウェア「Emotet(以下、エモテット)がメディアで取り上げられ、広く知られることとなりました。攻撃者は細工した不正メールにマクロ付きのWordやExcelファイル等を添付して送付します。正規にやりとりされているメールを盗み取り、それを使ってタイトルに「RE:」を付記することで返信のように装う手口もあり、受信側は不正メールだとは気付かずに、ファイルを開いて感染してしまいます。エモテットに侵入を許すと、ほかのマルウェアも次々とダウンロードされて攻撃の連鎖が起こります。影響範囲の特定を行うために行うフォレンジック調査は多額の費用がかかりますし、完了するまで営業ができなくなってしまいます。
対策として、パスワード付きZIPファイルをメールに添付して使う企業が減ってきましたが、すると今度はファイルを送りつけるのではなく、本文に記載したURLのリンク先からファイルをダウンロードするように誘導する手法が登場するなど手口も進化しています。2021年1月に攻撃者のサーバーを突き止めテイクダウン(攻撃インフラの接収)が行われ、一時は感染が落ち着きましたが、また2021年11月から活動が再開され、以後は日本の中でも急速に拡大し、2019年当時よりも数段高いレベルでの被害状況が確認されています。