2021年はランサムウェアによる被害やWindowsの脆弱性悪用に加え、夏には製粉大手のニップンへの同時多発的なサイバー攻撃は復旧すらできない深刻な被害を及ぼしたほか、12月にはApache Log4jの脆弱性(CVE-2021-44228)などが話題となった。今回、ビジョナル・インキュベーション yamory事業責任者の高橋則行氏に昨年の振り返りと、2022年の展望について話を聞いた。
国内大手製粉企業へのサイバー攻撃
まず、2021年のセキュリティインシデントにおいて特に高橋氏が印象に残っているものは、7月に発生したニップンの大規模サイバー攻撃被害と、12月のApache Log4jにリモートコード実行の脆弱性が発見されたことだという。
ニップンへのサイバー攻撃は同時多発的にサーバや端末データを暗号化されてるという被害が発生し、財務管理や販売管理を行う基幹システムに加え、グループネットワーク内で運用しているシステム、バックアップサーバも同じく暗号化されており、復旧に有効な手段はないと専門家は報告。
同社はBCP(事業継続計画)対策としてデータセンターを分散設置していたにもかかわらず、想定していた事態を上回り、多くのサーバが同時攻撃を受ける形となった。
高橋氏は「非常に驚いたインシデントだった。内部に侵入され、情報を探索されたことは恐ろしく、こうしたことが成立してしまうということは現代のサイバーセキュリティの怖さだ。RaaS(Ransomware as a Service)は、ランサムウェアをサービスのように気軽に使えるため、リスクとリターンを考えたときの攻撃手法として活用されることで、被害が増加することは社会の動向としては注目すべき点だ」と話す。
Apache Log4jの脆弱性
一方、Apache Log4jはApache StrutsやApche Solrなど、広く使われているOSS(オープンソースソフトウェア)ElasticSearch、Minecraftにも使われており、世界中の多くのサービスに影響が出ていることが想定されている。
また、Apache Log4jはログ出力のライブラリであるため、システム内部で知らないうちに利用されていることも多く、実際にApache Log4jを利用しているのか、脆弱性の影響を受けるのかといった判断が難しいことも脆弱性の深刻さを増す要因になっているという。
脆弱性は「Log4Shell」とも呼ばれ、過去にも話題になった「Heartbleed」「Shellshock」と並ぶ深刻な脆弱性と評価されている。そのほかの深刻な脆弱性と同じく、脆弱性が効果されるとすぐにPoC(概念実証)が公開され、大量の攻撃活動も観測されたと報告されている。
Apache Log4jについて、高橋氏は「この脆弱性を使うことは簡単であり、脆弱性を発露させると攻撃範囲が広く、上位の権限を乗っ取り、触ることができるため非常に深刻な脆弱性だ。当社でもデモ環境を構築して試してみたが、本当に簡単にできてしまう」と説明した。
なお、2021年の各月におけるセキュリティインシデントは同社のブログで公開されている。