ファイア・アイは7月19日、年次セキュリティカンファレンス「Cyber Defense LIVE Tokyo 2018」をホテル雅叙園東京にて開催した。これに合わせて記者会見が行われ、米ファイア・アイ CEO Kevin Mandia氏および日本法人のCTO 伊東寛氏が日本国内を取り巻くサイバー脅威環境について詳しく解説した。本稿ではその様子を一部お届けする。
膨大な調査から明らかになった知見
ファイア・アイでは2017年度、300名以上の担当者が20カ国以上においてインシデント対応を実施したほか、18カ国に派遣された100人以上のインテリジェンス・アナリストが600件以上の調査を行うなど、数多くのインシデント対応・調査を手がけてきた。調査活動で発見したマルウェアは6万以上に及ぶという。Mandia氏はこれらの取り組みから得られたいくつかの知見について紹介した。
サイバー攻撃は攻撃者にとってローリスク・ハイリターン
Mandia氏は、今後もサイバー攻撃は続くものと予想。攻撃者にとっては、攻撃のリスクもダメージもほとんどないためだ。特に、中国、ロシア、北朝鮮、イランは国家としてハッキングやサイバー攻撃に従事することを寛容しているため、注意が必要だという。
攻撃者は今後も「信頼」という人間の感情を利用
サイバー攻撃の手法として攻撃者は、スピアフィッシングをよく利用する。スピアフィッシングとは、特定のターゲットに対してメールを送信し、そこに記載されたURLや添付ファイルを開かせるなどして個人情報や重要なデータを奪おうとする手法で、Mandia氏は「人の信頼を悪用したもの」であると説明する。実際にファイア・アイが対応した被害の90%がスピアフィッシングによるものだという。
仮想通貨は世界を変えつつある
ビットコインに代表される「仮想通貨」が昨今注目されているが、サイバーセキュリティの分野にも大きな影響を与えている。
「WannaCry」というランサムウェアが世界中で猛威を振るったことは記憶に新しい。ランサムウェアは、コンピュータに保存されているファイルを暗号化し身代金を要求するマルウェアだが、ここに仮想通貨が使用されていた。金銭目的のサイバー攻撃は従来、クレジットカード番号を狙ったものが多かったが、仮想通貨はその匿名性の高さから、攻撃者にとってより良い収益源となる。「何も対策しないでおくと、攻撃者は今後も暗号通貨を悪用して大金を奪う活動を続けていくはずだ」とMandia氏。
サイバー攻撃には地政学的状況が反映される
先の説明にもあったように、中国、ロシア、北朝鮮、イランなどは国家としてハッキングやサイバー攻撃に従事することを寛容している。ただし、中国が攻撃発信源とされるサイバー攻撃は、2015年に習近平国家主席とオバマ元大統領が首脳会談において相互にサイバー攻撃を行わないことで合意して以来、大幅に減少しているという。
ロシアが関与したサイバー攻撃としては、2016年の米国大統領選挙が印象的だろう。攻撃者は、民主党全国委員会やクリントン陣営に対してサイバー攻撃を仕掛け、内部告発サイト「ウィキリークス」を通じて大量の機密メールやファイルを公開した。ロシア側の狙いは、クリントン氏の妨害とトランプ氏の当選を促すことであった。
サイバー攻撃はこれまで中国、ロシアを発信源とするものが多かったが、その状況は変わりつつあるという。2017年度のファイア・アイの調査によると、攻撃の発信源国としてイランが第2位に浮上してきたのだ。イランからの攻撃自体は2008年頃から継続していたが、2016年に活発化。特にイランからアメリカに対する攻撃が増加している。Mandia氏はこの要因について「二国間の地政学的状況を反映したもの」であると説明している。
北朝鮮による攻撃はこれまで韓国を中心に行われていたが、2018年2月のファイア・アイのレポートによると、その範囲を中東や北米にまで拡大させているという。また2017年11月には、米国などを狙ったゼロデイ攻撃を行っていたことも明らかになっている。
情報開示の流れが加速
米エキファックスの個人情報漏洩や米フェデックスのランサムウェア被害など、セキュリティインシデントが組織に及ぼす影響が高まっていることで、セキュリティ情報開示の流れが加速しつつある。「インシデントの際、企業は迅速な情報開示が求められる」(Mandia氏)という。
予行演習
東京五輪に向けてインフラの整備など準備が進んでいるが、Mandia氏は「危機管理計画やインシデント対応計画の予行練習が重要」であるとする。これは、事前に計画を実施してみることで想定していた結果とのギャップを洗い出すことが可能になるためというわけだ。五輪では多数のサイバー攻撃が行われることが予想される。2020年に向けてしっかりとした対応策を準備しておく必要があるだろう。
ロシアのサイバー攻撃グループが日本を標的に
次いで、2017年7月付けでファイア・アイ日本法人のCTOに就任した伊東寛氏が登壇。ロシアのサイバー攻撃グループが日本の物流企業を標的に攻撃していたことについて説明した。
7月19日付のファイア・アイによるプレスリリースによると、2018年5月初旬に、ロシアのSandworm Teamと思われるグループが、日本国内の複数の物流企業を標的に攻撃していたという。攻撃の具体的な動機は不明だが、同グループの過去の傾向から、破壊を目的とした活動だった可能性が示唆されている。
同グループは従来、ウクライナやアメリカなどロシアと敵対関係にある国に対して攻撃を行うことがほとんであった。現在の日本とロシアの関係性を考えると、サイバー攻撃を実施する積極的な理由は特に見当たらない。そのため、本来別の国をターゲットにしていた可能性や踏み台として日本企業を利用した可能性が高いのではないかと推測されている。
この攻撃について伊東氏は、陸上自衛隊にてシステム防護隊の初代隊長を務めた経験から、次のような見解を述べた。
「2017年2月にロシアがサイバー情報部隊を作ったという報道があった。このサイバー情報部隊に関連してロシアからの攻撃が拡大している可能性も考えられる。部隊ができたということは、隊員それぞれに担当が割り当てられているということ。極東担当の部隊があるとすれば、日本を攻撃対象とする可能性は大いにある。敵対的な国ではなかったとしても、平和時の弱点を調査しておくのは軍として一般的な行動だ」