トレンドマイクロ「法人組織におけるセキュリティ実態調査2019年版」から読み取る、法人組織のサイバーリスク

「法人組織におけるセキュリティ実態調査2019年版」は、インターネットによる広範囲な調査であり、調査は昨年6月に行われ、2018年4月から翌19年3月までに発生したインシデントや対策をまとめたレポートとなっている。各法人のセキュリティ担当者、意思決定者への調査を実施し、現場の声に近い内容となっている。業種別、地域別のクロス集計も行っており、自分の業界や地域ごとの特徴や攻撃傾向などの参考にもなる。セキュリティの調査・統計は、独立行政法人など公のものもあるが、サンプル数と偏りのなさでは、トレンドマイクロの調査は貴重なものだ。

ランサムウェアと標的型攻撃のリスクは変わらず高い

全体の傾向として、なんらかのサイバー攻撃を受けたという法人組織は57.6％と高い比率になっている。攻撃を受けた率が高いのは、中央省庁（76.7％）、都道府県庁（73.1％）、金融（70.4％）の3つの業種が70％を超えている。60％台の業種としては、製造業（61.1％）、建設・不動産（63.9％）、情報サービス・プロバイダ（62.0％）が続く。逆に40％台前半と低いのは、福祉・介護（45.4％）、出版・放送・印刷（42.3％）だ。

いずれの業種も40％を超えており、サイバー攻撃は実態としても他人事ではない状態が裏付けられている。

平均では半数以上の法人組織が、サイバー攻撃を受けているわけだが、その攻撃の種類、インシデントのタイプは、「なりすましメールの受信」が19.1％と最も多い。なりすましメールは、金融機関やネット上のメジャーなサービス（SNS、ECサイト他）、行政機関を詐称したばら撒き型に近いメールから、実在の取引先や人物からの標的型攻撃のメールなどが考えられる。いずれのメールも、近年は詐称や模倣の精度が上がっているので、注意が必要だ。

次に多いのは遠隔操作ツールによる端末汚染（14.9％）だ。トロイの木馬によって送り込まれるリモートアクセスツールや有名なハッキングツールのエクスプロイトキットが主なマルウェアと考えられる。

なりすましメールと遠隔操作ツールは、APT（Advanced Persistent Threat、高度持続的標的型攻撃）、いわゆるサイバーキルチェーンで確認される攻撃要素だ。APT攻撃や高度な標的型攻撃の狙いは、バンキングマルウェアを送り込んだり、カード情報や決済関係の情報を抜き取る金銭的な犯罪も多いが、企業や省庁の機密データや個人情報、アカウント情報などもターゲットとされる。これらの攻撃が確認されたら、サイバーキルチェーンの横展開（イントラネット内のサーバー、PCへの汚染拡大）まで終了している前提で、重要情報の漏えいリスクを考慮する必要がある。

ランサムウェアの被害も減っていない。レポートでは、全体の11.8％がランサムウェアの被害を受けているという。ランサムウェアは、感染するとデータ復旧方法はバックアップのリストアしかなく、業務やサービス停止にも直結するので、被害インパクトが大きいのが特徴だ。身代金の支払いでデータが復活する場合もあるが、なんの保証もなく、身代金ではなくデータの破壊や業務妨害が目的のランサムウェアも存在する。

中央官庁・自治体・金融機関に攻撃が集中

レポートには、業界別に受けたインシデントのヒートマップも掲載されている。ヒートマップで目立つのは中央省庁での遠隔操作ツールの感染（30.2％）、インターネットバンキングマルウェアの感染、公開サーバーの汚染だ。不正ログインや、取引先やグループ企業、子会社を狙うサプライチェーン攻撃も16％台と高い比率だ。

ヒートマップでインシデントが多いのは、他に都道府県庁、金融、製造の3業種を挙げることができる。インシデントの傾向は中央省庁と同じで遠隔操作ツールやランサムウェア、不正サイトアクセス、なりすましメールの被害が広がっている。なお、なりすましメールは、調査対象のすべての業種で高い比率となっている。

業界別でなりすましメールの受信が目立つのは、都道府県庁、金融、製造、運輸交通インフラ、卸小売り、建設・不動産、情報サービス・プロバイダなど。広範囲に、フィッシングメールやばらまき型攻撃メールが蔓延している。

業種別の攻撃とそのインシデントの種類の傾向で浮かび上がるのは、中央省庁やインフラ事業者を狙った高度な標的型攻撃、サプライチェーン攻撃だ。国や政府が関与したAPT攻撃も含まれていると考えてよいだろう。犯罪組織や特定の国による、政府、製造、交通、通信事業者など、重要インフラ事業者を狙った攻撃が広がっている可能性がある。

対策は基本を押さえてエンドポイント監視を強化

以上のようなサイバー攻撃リスクには、どう対処すればいいだろうか。まず、基本的な対策として、ファイアウォールやフィルタリングによる入り口対策と、セキュリティアップデートでOS・アプリを最新に保つという脆弱性対策は、なにをおいても前提となる。

これらの対策は、フィッシングサイトや攻撃サイトアクセス、マルウェアのダウンロード、実行を行った場合の最初の防壁となるからだ。

ランサムウェアに対しては、データのバックアップが有効な対策となる。できればシステムの冗長化、WebサーバーやDBサーバーのスナップショット保存など、復旧とリストアを考慮したソリューションを導入する。バックアップは保存だけが目的ではない。リストアも考えた対応が必要だ。

APT攻撃など高度な標的型攻撃には、EDR（Endpoint Detection and Response）など各種エンドポイントの対策が考えられる。サーバーログの監視、解析による異常チェック、そして、ネットワークトラフィックの監視による出口対策も欠かせない。アウトバウンドのデータと外部通信をホワイトリスト、ブラックリスト等でチェックすることで、データ漏えいを防げる可能性が高まる。

必要ならば、サンドボックスやふるまい検知、AIによる異常検知を組み合わせる。

攻撃が少ない業種こそ今後の注意が必要

レポートをベースに、法人組織のサイバーリスクの実態と対策の概要をまとめてみたが、注意しておくべき点がある。

レポートでも指摘しているが、インシデント発生率は業種によって差があるものの、インシデントや被害が少ない業種が、安全でセキュアな環境にあるとは言い切れない。インシデントが多く発見されるのは、それだけ監視を行い、攻撃を注視しているから多く見つかるという可能性があるからだ。

つまり、レポートでインシデントの発生が少ない業種は、対策が十分ではなく、そもそも攻撃に気が付いていないだけかもしれない。むしろ、発生・被害が少ないのはどこかに見落としがないか疑う必要がある。とくに、省庁、金融、製造といった業種で、調査結果について、攻撃や被害の実感がなく「うちはそんなに被害は受けていない」と思った法人組織は、攻撃を見落としている可能性が高いと思うべきだ。

調査対象期間にも注意が必要だ。ヒアリングを行ったインシデントは2018年4月から2019年3月での状況だ。レポートでは、省庁自治体など公的機関の被害が高い結果となっているが、この時期、APT攻撃や標的型攻撃は日本の公的機関やインフラ産業を狙っていたものと思われる。

現在、三菱電機やNECなど大手企業が、2019年に大規模なAPT攻撃や標的型攻撃の被害を受けていたことが発覚して問題になっている。つまり、2019年に多く確認されたなりすましツールや遠隔操作ツールの攻撃が、かなりの割合で成功しており、これからまだ発覚する可能性がある。三菱電機のインシデントは、中国現地拠点から侵入が始まったとされており、典型的なサプライチェーン攻撃ともいえる。

中堅規模の企業でも安心できないので、侵入されている前提でのシステムの検査を検討してもいいだろう。