前回は、ロシアのウクライナ侵攻という現実の動きとサイバー攻撃動向の観測結果、そしてサイバー犯罪集団の内部情報流出によって、かつては別々に独立して活動していたサイバー犯罪者と国家を主体とした攻撃の間に新たなリンクが生まれ、それがEmotet急増の一因と考えられることを考察した。
さて、企業の担当者にとっては、「攻撃者が誰か」も重要なファクターだが、それ以上に、こうした脅威にどのように備えるかを考えることが重要だ。そこで最終回では、どのようにこうした脅威に備えるべきかのポイントを解説していく。
攻撃の最大の糸口は「ローテクで人をだますフィッシングメール」
前回は、金銭を目的とするサイバー犯罪グループがエコシステムを形成し、分業体制で攻撃を展開していることを説明した。
例えば、実在する取引先などの名前をかたってユーザーをだまし、感染を広げるマルウェア「Emotet」のようなアクセスブローカーが、まず企業への侵入口を用意する。そこに、複数のグループがRaaS形式で提供するランサムウェアが送り込まれ、事業継続に欠かせないシステムを暗号化したり、個人情報・機密情報を盗み出して公開すると脅したりして、多額の金銭を入手しようとする。
最近では、こうして盗み取った認証情報を悪用してクラウドサービスにまで侵入し、クラウド上に保存されているバックアップファイルを破壊したり、定期的にバックアップが作成されないよう勝手に設定を変更した上でデータを暗号化したりして、金銭を要求する手口まで報告されている。
ポイントは、一連の手口は、世の中で言われるほど高度でも巧妙でもないということだ。誰も見たことのない「未知の攻撃」やパッチの提供されていない「未知の脆弱性」が悪用されるケースは、ゼロとまでは言わないがほとんどない。
その代わりに頻繁に利用されるのは、VPNアプライアンスに存在する既知の脆弱性や、人間の心理につけ込んだフィッシングメールだ。攻撃者は、パッチが提供済みなのに適用されていない環境にやすやすと入り込んだり、ユーザーをだまして認証情報を手に入れ、堂々と正規のユーザーになりすまして企業システムに入り込んでくる。
サイバー攻撃の75%はフィッシングメールから始まるという調査結果もある。いかにもローテクで、「今どき誰がこんな手口に引っかかるのだろう」と思われるような単純な手法にこそ注意が必要だ。
フィッシングメールに対しては、しばしば「怪しいメールに気を付けましょう」「疑わしいリンクやファイルはクリックしないようにしましょう」と注意が呼びかけられてきた。しかし残念ながら、こうした注意は効果を失いつつあるのが実情だ。
もちろん、見るからに怪しいメールを無視することは重要だが、最近のサイバー攻撃は「正規のサイト」「正規のURL」を悪用するのが常であり、疑わしく見えないからといって信用するわけにはいかない。
事実、プルーフポイントの調査によると、攻撃者が悪意あるファイル、マルウェアをホストする場所として最も頻繁に用いるのは、マイクロソフトのファイル共有サービス「OneDrive」となっている。だが、普段の業務で同僚と、あるいは取引先とファイルを共有するのに、OneDriveは当たり前に用いられている。そんな状況で、一つ一つ送られてきたリンクを疑っていてはきりがない――攻撃者はそんな状況につけ込み、疑わしくないような見かけでユーザーをだまし、攻撃を展開している。
外部からの攻撃以上にインパクトが大きな内部犯罪にも備えを
サイバー攻撃と同時にもう一つ、忘れてはならないリスクがある。社員や元社員、サプライチェーンなどの関係者による内部犯罪だ。
先ほど、サイバー犯罪者はエコシステムを構築し、何らかの侵入口を介してランサムウェアを送り込んで金銭を得ようとすることを説明した。もしここで、内部関係者がサイバー犯罪者に協力したらどうなるだろうか。
あの手この手でユーザーをだましたり、前段に設置されたセキュリティ製品をかいくぐったりすることなく、ランサムウェアの実行から攻撃をスタートさせることができる。攻撃者にとっては非常に楽で、コストパフォーマンスのよいやり方といえる。
実のところ、米国では、テスラへの侵入を企てたロシアの攻撃者が、テスラの従業員に「工場でこのウイルスをばらまいてくれれば、報酬として1億円を提供しよう」とそそのかそうとしたことが報じられている(この従業員は捜査に協力し、攻撃は未遂に終わった)。しかもこの件は氷山の一角に過ぎない。犯罪フォーラムでは、「企業メールのIDやパスワード、VPNのIDやパスワードを教えてくれれば報酬を支払います」といった誘いが常に大量に呼びかけられている。
この結果、Verizonの調査「DBIR2021」によると、外部脅威による情報漏洩は全体の64%で、内部の脅威に起因する情報漏洩は36%となっている。問題はそのインパクトだ。一件のインシデントで侵害されたレコード件数は、外部脅威に比べ内部脅威は5.8倍に上る。そして、情報処理推進機構(IPA)の「企業における営業秘密管理に関する実態調査2021」によると、退職者などの内部脅威による情報漏洩は、サイバー攻撃による情報漏洩よりも10倍多く、こうした数字を踏まえると内部脅威の影響は非常に大きいことがわかる。
残念ながら、サイバー犯罪者の誘いに乗るケースに加え、従業員自身の意思による内部犯行の被害も増えている。国内では、岩手県釜石市の職員が市民の個人情報を違法に取得・漏えいした事件が記憶に新しいところだが、金銭などを目的にした内部関係者の犯行は、過去にもたびたび発生してきた。中には、退職した従業員が次の転職で有利になるため、あるいは逆恨みで情報を持ち出すケースも発生している。
また極端なケースでは、情報持ち出しにとどまらず、外部から不正にシステムを操作し、水処理システムの設定を変更して致死量のナトリウムが加わるよう操作したケースが米国では報じられている。
テレワークやクラウドシフトといったトレンドに加え、雇用が流動化し、大量退職時代を控える今、うっかりミスか、故意かにかかわらず、こうした内部関係者による情報漏洩対策のリスクは高まっており、重要な対策のポイントと言えるだろう。逆に、新たに自社に加わってきた転職者が、前の会社から不正に情報を持ち出してきていないか、というリスクも考慮する必要がある。
一方、これまでのセキュリティ対策の在り方を振り返ると、ネットワークセキュリティへの投資が全体の59%を占めている状況だ。外部からの脅威に備える境界防御が重視されていた時代の名残かもしれないが、今回説明したとおり、攻撃者は、近年対策が進みなかなか見つかりにくいシステムの脆弱性よりも、はるかに汎用的でそこここに存在する人の脆弱性を狙い、メールを使ってだましたり、うまい話で誘おうとしてくる。
したがって、外部からの脅威に備えた技術的対策だけでなく、内部脅威や人の脆弱性を鍛えるためのトレーニングといった、これまであまり顧みられてこなかった部分への対策、つまり、「人」を中心にしたセキュリティ構築が求められると言えるだろう。今後の対策の指針としてほしい。