DX(デジタルトランスフォーメーション)の進展とビジネスの変化により、サイバー攻撃を受けてしまう面(アタック・サーフェス)が拡大している。これらの中にはリスクが把握されていないものも多く、サイバー攻撃者はそこを狙っている。今回は最近のサイバー攻撃の種類や特徴、影響を紹介していく。国家の関与や経済安全保障にも言及する。
環境の変化に伴い高まるサイバーリスク
DXの第一歩はデジタル化である。これまで人の手で行っていた作業をデジタル化することで効率化し、本来取り組むべき仕事に集中できる時間を増やすことはビジネスの変革に向けた基礎になる。例えば、紙の情報をExcelに転記していくような仕事はスキャンして文字情報をデジタル化するOCRや、デジタルレイバーと呼ばれるRPAに任せていく。いわゆるPHS(プリントしてハンコを押してスキャンする)からの脱却などへの取り組みである。
COVID-19対応のためにリモートワークへの移行が進んだことで、これらの取り組みも加速した。それまでは限定的だったリモートワークを全社に拡大することは容易ではなく、多くの問題も発生した。しかし、五輪に向けての働き方改革が推進されていたこともあり、計画の前倒しや拡張により、多くの苦労を伴いながらもどうにかリモートワークに移行できたという話をよく耳にした。
しかしその結果、VPNやクラウド、モバイル、あるいは個人所有のPCを活用することになり、攻撃を受ける接点であるアタック・サーフェスが拡大した。
もう一つの例は、デジタル店舗へのシフトである。 かつては実店舗のみでビジネスを展開していた事業者はオンライン店舗、ECサイトやスマートフォン向けのアプリも展開するようになった。これにより売上の確保だけでなく、ユーザーごとのデータを収集することで分析が可能になり、新商品の開発やプロモーション施策に生かせるようになり始めた。まさにDXの進展といえる。
しかし、サイバーリスクも増大した。ECサイトを構成するアプリケーションに脆弱性が存在した場合、格好の攻撃対象となる。VPNやアプリの脆弱性を狙う攻撃や、クラウドサービスのパスワード確認などをかたるフィッシングの増加も同様である。このように、攻撃者はデジタル化に伴う環境の変化に不慣れなところを狙う。こうしたリスクに対し、政府や各業界団体がさまざまなガイドラインを公開するようになった。
国家防衛の視点では、サイバー攻撃が国力を削ぐことに極めて有効であることや、攻撃元を偽装しやすい点、物理的な攻撃に先立って行われることなどから、サイバー空間を陸、海、空、宇宙に次ぐ「第5の戦場」と認識されるようになって久しい。そして2022年には、その「第5の戦場」での戦いを目の当たりにすることになる。これにはシステムを停止させるためのサイバー攻撃に加え、ディープフェイクによる偽のニュースなどの手法も活用された。
国防の観点では、日本は2022年に安保3文書(国家安全保障戦略、国家防衛戦略、防衛力整備計画)を決定した。これらはサイバー空間における国家安全保障にも言及しており、サイバー防御の強化のために「能動的サイバー防御」の導入およびその実施のために必要な措置の実現に向けた検討を挙げている。これらのために、サイバー安全保障の政策を一元的に総合調整する新たな組織の設置、法制度の整備、運用の強化を行うとしている。
-
国家安全保障戦略における「サイバー安全保障」(政府)
サイバー攻撃の現状 - ランサムウェアとフィッシング
近年のサイバー攻撃で特に話題になっているのは、ランサムウェアとフィッシングであろう。ランサムウェアは、感染したPCのファイルを暗号化して「復号してほしければ“身代金”を支払え」と脅すマルウェアであるが、近年は他のサイバー攻撃と組み合わせて使用されるケースが多い。例えば、脆弱性を悪用して企業ネットワーク内に侵入し、重要なデータを盗み出すとともにランサムウェアを仕掛けるケースは頻繁にある。
攻撃者は盗み出したデータを“暴露サイト”にアップロードし「身代金を払わなければ重要なデータを公開する」と脅す。またDDoS攻撃を併用したり、ステークホルダーへ情報を流すと脅したりする「多重脅迫」も一般的になっている。さらには、ランサムウェアを使わず「データを盗み出したので、金銭を払わないと公開する」と脅す「ノーウェアランサム」という手法も増えている。
ランサムウェアが他のサイバー攻撃と複合化されたことで、侵入経路も変化している。以前はメールを使うケースが中心だったが、最近ではネットワーク機器などの脆弱性を悪用して侵入するケースが大半を占めている。こうした攻撃がサプライチェーン企業に行われるケースも増加している。直接大企業や親会社を狙わず、子会社や関連会社などセキュリティの弱い企業にサイバー攻撃を仕掛け、大企業などの業務を停止させる。
実際に、自動車製造業大手の子会社がサイバー攻撃を受けて自動車の製造が中止されたり、医療機関と一部のシステムが接続されている給食業者がサイバー攻撃を受け、それを足がかりに医療機関がランサムウェアに感染し医療を停止せざるを得なくなったりする事件が発生している。また、港湾施設がサイバー攻撃を受けて停止したケースでは、その影響が大きかったことから新たに重要インフラ事業者に加えられている。
フィッシングも生成AIなどの活用で巧妙化されており、フィッシングをきっかけとする不正送金被害額は2023年に約87億円に達した。前年比で6倍近い増加である。また、企業ユーザーを狙うフィッシングも増加している。業務アプリやリモートアクセス用のログイン情報を盗み出そうとするフィッシングも多くなっている。特に社長を名乗り送金指示を行うBEC(ビジネスメール詐欺)は被害金額も大きいため、深刻な状況にある。
サイバー攻撃者は、今や巨大なコミュニティを形成し、役割分担による専門性を高めて高度化が進んでいる。長く活動しているサイバー攻撃者グループもあれば、プロジェクトごとに編成されるグループもある。国家から依頼を受けて非常に高度なサイバー攻撃を行うケースもある。近年の研究では、国家機関の直接的な関与に言及するものも見受けられる。一方でサイバー攻撃の初心者に対する教育コンテンツや、ランサムウェアやフィッシングの作成から攻撃、身代金や入手した個人情報を販売するまでをセットにしたサービスも提供されている。
サイバー攻撃者は金銭奪取を目的しているので、目標達成のために手段を選ばない。よりユーザーの多いソフトウェアやOSを狙うことはもちろん、脆弱性情報の収集にも余念がない。さらに最近ではAIも駆使しており、フィッシングの文面も違和感のないものになっている。攻撃の傾向は把握できても、具体的に狙われるポイントは複数あるため、セキュリティ対策を行う側は全方位での保護が求められる。サイバー空間では、攻撃者優位の状況は今も続いている。
-
警察庁による、フィッシングによるとみられる不正送金被害状況(暫定版:最終的に約87億円となった)
現在のセキュリティ対策のポイント
サイバー攻撃者の支配力が増し優位な状況であるが、企業は強固なセキュリティ対策を導入し攻撃者に遅れを取らないよう継続的に進化していかなければならない。 各社は以前、言わば城壁を高くして侵入させない対策が中心であった。ネットワークに入ってくる段階でセキュリティチェックをするという「入口対策」である。同時に、たとえ侵入されて重要データにアクセスされても外部に持ち出させない「出口対策」と共に行われるようになった。いわゆる境界型の対策である。
攻撃者側は、セキュリティ対策製品の検知を逃れるために、一般的な通信を用いるようになった。これは現在では一般化していると言ってよいLiving Off The Land(LotL)攻撃に進化している。攻撃対象のシステムにすでに存在する正規のソフトウェアやツールを悪用して情報窃取や権限昇格などの攻撃を行うもので、攻撃ツールを使用しないため検知が難しくなっている。一般化する前のAIでは、普段の状況を学習してそれと異なる挙動を異常として判断していたが、そうした対策も難しくなってきている。
このように、従来のセキュリティ対策だけでは保護することが困難な状況となっている。そこで重要となるのが「可視化」と「ポリシーによる通信制御」、つまり「セグメンテーション」である。クラウドサービスを含む企業のネットワークの状況を可視化することで、異常な動きを検知できるようになる。また、セグメンテーションは区画分けの意味があり、従来は企業の中と外というシンプルだった境界をより細かく区画分けをすることで、その間の不正な通信を遮断することが容易になる。現在のセキュリティ対策の考え方については、次回で紹介する。
同時に、留意すべきことは政府も推進している「DX with Cybersecurity」である。これはDXとともにセキュリティも確保していくというものだが、セキュリティがビジネスの変革を阻害しないこととしている。セキュリティを重視するあまり開発が大きく遅れるようなことは本末転倒であり、セキュリティを高めつつDXによりビジネスの変革を進めていく必要がある。 次回は、現在のセキュリティ対策の考え方について紹介する。
著者プロフィール
 |
メルカリで相次ぐ不正行為、どう対処しているのか? 不正対策部門の責任者に直撃
