「サイバーセキュリティ月間」に合わせて発表される「10大脅威」

IPAは毎年2月、「10大脅威」を発表している。新聞やテレビなどが発表する10大ニュースは年末が恒例だが、政府は2月(から3月半ばほどまで)を「情報セキュリティ月間」と定めている。IPAの「情報セキュリティ10大脅威」(以下「10大脅威」)はこれに合わせて発表されている。

ランキングは組織向け、個人向けと2つのカテゴリで発表される。トピックの選定と順位付けは専門家や識者によって行われる。発表の前の年(2023年発表なら2022年)に起きたセキュリティインシデントの中から、専門家や識者による投票によって決定される。ここでは、2023年2月に発表された10大脅威のうち組織向けの脅威について、その特徴や背景を考えてみたい。

大きな変化は「犯罪のビジネス化」が圏外からランクイン

まず、全体の順位は以下のとおりだ。

トップ10の項目に大きな入れ替えは発生しておらず、昨年の10位までのトピックが微妙に入れ替わった形となっている。コロナ禍ということもあり、ここ数年のトップ3のラインナップは変わらない。ランサムウェアは相変わらず猛威を振るっている。サプライチェーン攻撃も同様だ。

目立つ変化といえば、10位に入った「犯罪のビジネス化(アンダーグラウンドサービス)」だろう。昨年の10大脅威では圏外だったものだ。「犯罪のビジネス化」のランクインによって圏外となったのは昨年9位の「予期せぬIT基盤の障害に伴う業務停止」だ。2022年版の評価対象である2021年は、大手クラウドサービス、銀行システムなどで複数回のシステム障害が発生した年だ。ソーシャルメディアや通信事業者でもサービスダウン、システム障害が起きている。

「犯罪のビジネス化」がランクインした背景は?

2023年版はなぜ「犯罪のビジネス化」が10位に選ばれたのだろうか。筆者が調べた範囲では、2022年にアンダーグラウンドマーケットに絡むサイバー攻撃やインシデントが増えたという事実は確認できなかった。犯罪者の活動は常に活発であり、サイバー攻撃が組織犯罪を構成したりサイバー攻撃がビジネス化したりすることも、今に始まったことではない。

しいて言えば、トレンドマイクロがアフリカのアンダーグラウンドマーケット(サイバー空間の闇市)の捜査に関連してインターポールに情報提供を行ったニュースや、グローバルなマーケットプレイス「HYDRA」が当局によってテイクダウン(閉鎖)させられたニュースがあった。

1位に「ランサムウェアによる被害」、3位に「標的型攻撃による機密情報の窃取」4位に「内部不正による情報漏洩」がランク入りしていることも関係がありそうだ。ランサムウェアは、アンダーグラウンドでは組織化、ビジネス化している。近年では「暴露型」と呼ばれる暗号化とともに入手したデータを闇サイトで売る、インターネットに公開するといった脅迫をする攻撃も確認されている。

標的型攻撃は国家支援のAPT(Advanced Persistent Threat=高度で持続的な脅威)グループによるものだけではない。犯罪組織が特定業種や企業を金銭目的で狙うスピアフィッシングも盛んだ。内部不正による情報漏洩や不正アクセスも、個人的な動機以外に金銭的な動機もあることを忘れてはならない。企業秘密や組織内の情報、個人情報はやはりアンダーグラウンドで取引される商品でもある。

ランサムウェアを支えるアンアーグラウンドマーケット

犯罪のビジネス化には、ダークウェブ上でのサービスプラットフォームの問題も含まれる。ランサムウェアがよい例だが、ランサムウェアのための標的リスト、不正アクセスツール、暗号化ツール、C2サーバーなどは、闇サイトで一式そろえることができる。攻撃システムをパッケージ化して販売されることもある。これらをライセンスしたり、SaaSのようにクラウドサービス化する例も報告されている。

犯罪者・組織は、まずランサムウェア攻撃を実行するサービスプラットフォームを用意する。暗号化ツールや仮想通貨の決済システム、C2サーバーのクラウドサービスを構築する。実際の攻撃者は、これらのリソースを持つ必要はなく、単に標的リストがあればランサムウェア攻撃のためのフィッシングメール送り付け、このサービスにつながるランサムウェアをばらまけばよい。標的リストはアンダーグラウンドマーケットで購入可能だ。ランサムウェアプラットフォームが提供することもある。攻撃者(実行犯)は、これらを利用して、プラットフォームに「送客」する。成功した攻撃の身代金の一部をプラットフォームから受け取る。

他にも、不正アクセス等でバックドアを仕掛けた企業サイト、ECサイトに対して、利用料を徴収してアクセス、攻撃させるようなビジネスも存在する。同様に、企業サイトやクラウドシステムの管理者アカウント、クレデンシャル(認証情報)を販売、ライセンスすることもある。

アンダーグラウンドの世界では、マルウェアや個人情報、カード情報などを売買するマーケットプレイスだけではなく、攻撃インフラのプラットフォームサービスやクラウドサービスが一般化している実態がある。

凶悪化する多重脅迫型攻撃

トップ10上位はここ数年の常連トピックである。攻撃傾向が大きく変わっていないので、「またか」と、あまり深刻にならないのは危険だ。攻撃トレンドが変わらないということは、どの攻撃もいまだ有効であり攻撃者、犯罪者にとって続ける価値があるということでもある。

1位のランサムウェア攻撃は、おそらく2023年も高止まり傾向を続けるものと思われる。IPAの報告では、暗号化、データ暴露、DDoS攻撃、攻撃を受けていることの公表という、最大4つのパターンを組み合わせた脅迫も確認されているという。データの暗号化だけで脅迫するランサムウェアはすでに古いスタイルといってよい。暴露型と組み合わせたSodinokibi(REvil)のようなランサムウェアが一般化しつつある。

暴露型を併用する二重脅迫は、暗号化で身代金がとれなくてもデータを販売、ときにはオークションにかけることで収入を得ることができる。また、DDoS攻撃、個人情報の公開や攻撃を受けていることの公開は、事を荒立てたくない企業心理をついて、身代金支払いの動機を強化する。

サプライチェーン攻撃の複数の脅威

2位のサプライチェーン攻撃には2種類のパターンがある。取引先との文字通りのサプライチェーンを攻撃するパターンと、ソフトウェアのライブラリや開発ツール、外部サービスプラットフォームを攻撃して、製品や正規サイトにマルウェアを仕込むパターンだ。

前者は標的が大企業で防御が堅い場合、直接標的を狙わず、比較的セキュリティ対策が甘い取引先、下請け企業などを狙う。業務システムのクラウド化が進み、サプライチェーンで取引関係のある企業同士が同じネットワークを使う機会が増えている。DXにより業務システムが統合されることもある。チェーンの末端でも侵入できれば、標的へのアクセスの道となる。

後者は、製品のライフサイクルを利用してその内部にマルウェアを混入させる。この場合、標的はライブラリやサービスの開発企業や、それらを利用する完成品ベンダーではない。ベンダーやメーカーの委託先、オープンソースプロジェクトなどを狙う。誰もが使う製品、ソフトウェア、サイトを構成する部品(開発ツール、ライブラリ、モジュール、APIサービスなど)を汚染し、さまざまな製品やサービスにマルウェアを仕込むわけだ。メジャーなサービスや製品を利用できれば、大量の個人情報を入手することができる。あるいは、遠隔操作できるデバイスのネットワークやボットネットを構築することも可能だ。

もうひとつ注意したいのは、標的企業の業務を妨害したい場合にも有効な攻撃となることだ。サプライチェーンの末端を本丸への足掛かりとして利用するのではなく、チェーンの一部でも業務を止めることができれば、全体の業務を止めることも難しくない。本丸のシステムが堅牢であっても同様だ。IPAのレポートでも、大手自動車メーカーの最終ラインが止まった事例(取引先の部品メーカーがランサムウェア攻撃を受け、業務システムがダウンした。製造ライン他は正常だったが、その部品の出荷ができなくなった)を紹介している。

今日の製造業(とくに自動車業界)は、緻密な在庫管理と生産管理によって動いている。部品ひとつでも欠品すればすべてのラインが止まることが避けられない状況があるからだ。

中小企業の底上げが日本のセキュリティを高める

10大脅威2023について掘り下げてみると、中堅・中小規模の企業・組織のセキュリティ対策が改めて重要であることを認識させられる。コロナ禍やウクライナ情勢のような状況では、国家支援型のサイバー攻撃や世界的な動きに目が行きがちだが、2022年の状況を振り返ってみると、さまざまな企業、自治体の情報漏洩やサイバー攻撃のニュースを見ない日はない。ランサムウェアでは中堅規模の病院の被害が深刻化しており、社会問題にもなっている。

過去に実際に被害が問題にもなった大企業、重要インフラや政府機関などは、教訓を生かして対策が進んでいるといえる。だが、相対的にそれ以外の組織や企業のセキュリティ対策がおろそかになっていないだろうか。IPAはじめ関連機関は、中小企業の対策が重要として各種取り組みやガイドラインの作成、周知を行っている。

セキュリティ対策において、情報共有や外部連携はお互いの防御を高める意味で重要である。IPAは10大脅威に関連して基本的な対策資料も公開している。組織ごと、企業ごとの対策はそれぞれで考える必要があるが、業界や社会全体での包括的かつ協調的な取り組みが求められている。

著者プロフィール

中尾 真二(なかお しんじ)

フリーランスのライター、エディター。アスキーの書籍編集から始まり、翻訳や執筆、取材などを紙、ウェブを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは当時は言わなかったが)はUUCP(Unix to Unix Copy Protocol)の頃から使っている。