ESET/マルウェア情報局

大規模に変貌を遂げたサイバー攻撃の事例

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載された凶悪化、大規模化が進む近年のサイバー攻撃事例【連載 第3回(全4回)】を再編集したものです

 インターネット黎明期の牧歌的な攻撃が中心だった時代はとうの昔に終わり、いまやサイバー攻撃が国家間の戦争に関係する事態となっている。すなわち、争いのための暴力として利用できるほど、その影響が大きいということである。前回はその影響が増えていく過程ともいえる1990年前後から2010年までの代表的な事件を紹介した。今回は2010年代、より高度かつ大規模に変貌を遂げたサイバー攻撃の事例を見ていく。特に今回紹介する最近の代表的な事例は、企業・組織はもちろんのこと、個人でもセキュリティ対策を考える参考となるだろう。具体的な対策に言及している「サイバー攻撃への対策 巧妙化する手口にどう備えるか」と合わせて、対策を講じるためのヒントとして活用してほしい。

インターネットが基幹化したことでサイバー攻撃はさらに増大

 アップル社から2007年に発売が開始された初期iPhone。当初はアップル好き、新しいもの好きの一部に利用は限定されたが、Android端末も発売されると状況は少しずつ変わり始めていくことになった。2010年代に入ると、日本では通信会社の後押しもあり、普及スピードは加速していくことになる。「1人1台コンピューターを持つ時代」の到来は人々の行動様式を大きく変えることとなった。

 それまでパソコンを持たなかった層に至るまで、広くインターネットに接続しウェブサービスを利用することはもはや当たり前となった。この状況が意味するところは、これまで以上にリテラシーの低い人たちがインターネットに接続しサービスを享受している可能性が高まっているということだ。当然ながら利用規模が広がることでサイバー攻撃の企図者にとってビジネスチャンスも拡大。まさに願ってもいないような時代が到来したといっていい。

 インターネットがさまざまなビジネスの根幹となったことで、攻撃対象が増え、「稼げる」額も大きくなっていった。技術革新で攻撃に必要なコストも少なくなり、サイバー攻撃が大きな価値・利益を生む時代に突入したのだ。

【個人】「エクスプロイトキット」によるウェブサイト改ざんが頻発

 「エクスプロイト」とは脆弱性を実証するためのソースコードが元々の意味であるが、転じて悪意のあるコードという意味を表すようになった。ブラウザーに組み込まれたプラグインであるFlash PlayerやJavaなどは常に発覚した脆弱性に対するパッチを提供しているものの、利用側は適用していないケースも多く、セキュリティホールとなりやすい。攻撃者はそこを狙う。

 ダークウェブなどで流通している「エクスプロイトキット」は脆弱性を攻撃するパッケージのようなもので、2012年に流通したBlackhole、2015年のAnglerなどに代表される。プログラミングに詳しくなくても利用できるものも存在する。攻撃者にとっては手軽かつ少ない費用で攻撃ができるため、悪用したサイバー攻撃が増加している。

参考:エクスプロイト

【企業・組織】インターネット未接続でもサイバー攻撃が可能なことを証明した「スタックスネット」

 サイバー攻撃は初期、フロッピーディスク経由で生じていたが、インターネットの時代になり、そのほとんどが効率的に攻撃できるインターネット経由でおこなわれるようになった。しかし、インフラなどの重要施設ではサイバー攻撃から遮断するためにインターネットに接続しないケースがある。だが、スタックスネットによるイランの核施設への攻撃は、インターネットに接続しないことと、サイバー攻撃を受けないことはイコールではないことを改めて知らしめることとなった。

参考:産業機器を攻撃する標的型マルウェア「スタックスネット」を振り返る(その1)

参考:「スタックスネット」(Stuxnet)はどのようなグループが開発していたのか、何が狙いだったのか

【個人・企業・組織】アノニマスなどハクティビストによる各所への攻撃

 アノニマスとは「ハクティビスト」として活動する、自発的な不特定集団のことを指す。主に政治的な信条をもとに攻撃を起こすことが多く、「アラブの春」における反政府活動の支援や、北朝鮮、ISIL(イラクとシリアの一部地域で活動するイスラム過激派集団)といった国家組織へサイバー攻撃を仕掛けてきた。また、必ずしもターゲットは国家組織だけでなく、日本における違法ダウンロードの刑事罰化への抗議では、JASRACや政党のウェブサイトなどへのDDoS攻撃、クラッキングを仕掛けた

 2015年に起きたアシュレイ・マディソンの情報流出事件で、攻撃者はビジネスモデルに対しての抗議として攻撃をおこなったといわれている。攻撃者の信念に基づいた行動は一歩間違うと、結果的に関係性が薄い周囲の人々もその被害に巻き込んでしまうことがあり、問題視されている。

参考:重大な悪影響を及ぼしかねない脅威「ハクスポージャー」の台頭

2016年のサイバー攻撃の事例

 ここからは年度ごとに特徴的な事件を見ていくことにする。2016年の大きな特徴としては、企業・組織向けとしてはそれまで以上に大規模、影響が大きい事件が増加する傾向が見られた。個人向けでも手口の巧妙化・高度化が進み、被害に遭遇する可能性が増大したことが挙げられる。

【個人】一般向けソフトウェアの脆弱性を狙ったゼロデイ攻撃の増加

 ウイルス対策ソフトは常に進化している。そのため、攻撃者にとってはまだソフトが対策していない脆弱性を突く攻撃をおこなわなければ成功確率を上げることはできない。そこで「ゼロデイ攻撃」と呼ばれる、未知の脆弱性を見つけて攻撃を仕掛ける。最近はこうした傾向を受け、ソフトウェアを提供する企業は未知の脆弱性が発見され次第、素早くアップデートのパッチを適用するように促している。セキュリティホールを生じさせないためにも最新のパッチを適用することは強く意識すべきであろう。

参考:ゼロデイ攻撃

【企業・組織】インフラ施設への大規模な攻撃を仕掛けた「Black Energy」

 2007年に登場した「BlackEnergy」は一度表舞台から身を潜めていたが、2015年に再び活動を活発化させるようになった。亜種となる軽量な「BlackEnergy Lite」での調査を経た後に本体を送り込む手口は、まずウクライナのニュースメディアで映像と文書のデータを破壊するなどの被害をもたらした。

 その後、さらに同国の電力会社に攻撃を仕掛けることに成功。被害を受けた地域の約半数にあたる70万世帯を一時停電に陥れた。メディアと電力会社という社会の主要インフラともいえる産業がやすやすと実害を伴う攻撃に遭ったニュースは世界を震撼させ、危機意識を植え付けることとなった。

参考:大規模停電を引き起こしたマルウェア「SSHBearDoor」を確認

【個人・企業・組織】IoTデバイスを狙いDDoS攻撃を仕掛けるマルウェア「mirai」

 2016年にダークウェブ上で公開された「mirai」。このマルウェアは、セキュリティ機能をほとんど持たないTelnetと呼ばれるプロトコルの脆弱性を狙い攻撃を仕掛ける。IoT機器はLinuxベースで動作しているものが多く、公表していなくてもTelnetを利用できるものが少なくない。結果的に、攻撃者にとっては攻撃しやすいターゲットとなっているため、被害が続いているのだ。

 Telnet経由でログインされてしまうと、そのIoT機器は攻撃者の思いのままに操ることができる。アメリカで2016年10月に起きたDyn DNSを狙った攻撃は、IoT機器を踏み台に、過去最大規模のものへと発展した。今後出てくるIoT機器は、信頼できるメーカーであれば対策を講じたものに置き換わっていくことだろう。

 しかし、IoT機器の中には廉価で素性もわからないメーカーが製造・販売しているものもある。利用側はこうした信頼できないものを利用すると踏み台にされるリスクがあることを認識し、検討の際にはセキュリティホールの有無を調査した上で購入するべきだろう。

参考:Linux IoTデバイスを狙う「Mirai」ボットネットの拡散とDDoS攻撃に注意

参考:IoTデバイスへのマルウェア攻撃の現状と対策

2017年のサイバー攻撃の事例

 この年の傾向としては、個人にとって馴染みのあるサービスがサイバー攻撃の手段として用いられるのが常態化したことだ。日常的に利用しているサービスだと、つい警戒心は緩みがちとなる。攻撃者はその心理状態を巧みに突いて攻撃を目論んでいるのだ。サイバー攻撃の影響が広がり、多くのメディアで日々のニュースとして取り上げられる中、一般人でもその危険性が認知され、警戒心を持つように変わりつつある。マルウェア情報局でもわかり次第、ニュースとして取り上げているのでチェックを怠らないようにしてほしい。

【個人】AmazonやAppleを騙るフィッシング詐欺の増加

 以前は大手サービスを騙るメールでも日本語での記載や内容が不自然であったことで、受け取った側も疑いを持つことができた。しかし、そうした言語の壁を打ち破るべく、攻撃者も進化してきている。Google翻訳が年々スムーズな訳文に変わってきているように、今後はAIの進化でより自然な文面で偽装したメールが飛び交うことになる。

 ウイルス対策ソフトも検出エンジンを更新し、最新の対策へと日々アップデートをおこなっている。攻撃手法は常にバージョンアップしていることを念頭に置き、ウイルス対策ソフトは最新の状態にすることを心がけてほしい。

参考:AppleおよびAmazonをかたるフィッシングメールについての注意喚起

【企業・組織】大手企業のウェブサイトへの不正アクセスが増加

 2016年に発覚した大手旅行会社の個人情報流出が疑われる事件では、最大800万件の情報流出の可能性があるとされた。この事件は、従業員がうっかり標的型メールの添付ファイルを開いたことがきっかけとなった。続く2017年もさまざまな手口を利用し、大手企業や官公庁のウェブサイトなどへの不正アクセスが試みられ、この傾向は2018年以降も衰えることなく続いている。 不正アクセスによるサイトの改ざんなどもあり、何も知らずに訪問してしたことで利用者が加害者に転じてしまうケースもある。また、インターネット上のウェブサイトがビジネスに欠かせない存在となった現在、DDoS攻撃などの不正アクセスでサービスが利用不能となると企業の信頼問題にもつながる。ウェブサイトがビジネスで大きな位置を占めるようになったからには、そのための対策も合わせて講じるべきである。

参考:国内で話題になったサイバー攻撃10大ニュース ~2015年を振り返る~

【個人・企業・組織】サプライチェーンを狙った攻撃の増加

 企業や組織は、部品供給や販売提携、顧客へのサービス・製品提供などで、多くの組織や個人とつながりを持っている。企業におけるそのつながりは「サプライチェーン」と呼ばれ、企業活動を継続するための運命共同体のようなものである。こうした企業の「つながっている」実態を前提に、最終目標となる企業へのサイバー攻撃を目的としておこなわれる一連の攻撃を「サプライチェーン攻撃」という。

 いまや大手企業や金融機関など特定の業種において、セキュリティ対策に多額の予算をかけている企業も多い。しかし、規模が小さいところだと予算の関係上、適切なセキュリティ投資を捻出できないこともある。攻撃者にとってはそこが脆弱性となる。さまざまな手口を用い、最終目標への到達を目指す。当然ながら、そのためには多くの工数、費用がかかるが、攻撃が成功した際の見返りはその分を超えるため攻撃をおこなうのである。

 防御する側としては、自社だけにとどまらず外注する際の委託先などについても、セキュリティ対策も意識を向ける必要がある。また、委託先だけでなく、利用するコンピューター製品などは、組み込まれているパーツまでの調査も必要だろう。外部に開かれたネットワークに接続する機器は、すべて外部に情報を流出させるリスクがあるという前提を改めて意識しておくべきである。

参考:サイバー犯罪集団「テレボット」によるサプライチェーン攻撃

2018年のサイバー攻撃の事例

 この年は前年に続き、これまで以上に大規模な事件が頻発した年となった。仮想通貨が取引量の急増で価値を上げたのに合わせ、日本国内ではCoincheckZaifなどが、海外でもBitfinexBithumbなどの取引所がサイバー攻撃の被害に遭っている。また、アドウェアのようにマイニングマルウェアが端末に侵入するケースも多く報告されている。

 Facebookの5000万人分のユーザー情報流出や年末に発覚したマリオットホテルグループの3.8億件(件数は2019年1月4日発表のもの)にも上る情報流出など、流出規模が大きく、結果的に被害に遭う個人の数も増えている。今後は自身を守るために、どのようなセキュリティ対策をしているかという点も、ウェブサービス選択の判断に加わる可能性も十分に考えられる。

【個人】Facebookのアプリ内モジュールの脆弱性を狙ったサイバー攻撃

 Facebookのタイムライン関連の機能に含まれる一部モジュールに脆弱性があることが判明した。その脆弱性を突き、攻撃者により5000万人のユーザーに関するアクセストークンを盗み出したと報じられた。後の調査により被害の数字は2900万人に変更されたものの、これだけの数のアクセス権限が攻撃者の手に渡ったということに等しい。このケースでは被害が発生する前にFacebookが該当アカウントに対し強制的なログアウトをおこなったため、不正利用については大きく報じられていない。

 ウェブサービスのログインを便利にするアクセストークンが盗み出されたことは、利便性とセキュリティは相反することがあることを象徴している。ただ便利だからと安易に利用せず、その裏側でセキュリティが担保されているかどうかを利用者側も確認することが必要な時代になってきている。

参考:Facebook、5,000万人分のユーザー情報が流出

【個人・企業・組織】急増する仮想通貨取引の裏でサイバー攻撃も増加

 仮想通貨の代表とされるビットコインは2017年7月頃から急速に高騰をはじめ、その動きに合わせるかのように、アルトコインと呼ばれるその他仮想通貨もレートが上昇していった。この流れで仮想通貨市場に参加する人が増加するなど、活況となった。急速に高まる仮想通貨の価値をサイバー攻撃者が放っておくはずはなく、仮想通貨取引所へのクラッキングなどが発生する事態へと発展した。

 また、仮想通貨を採掘することで巨大な利益を手にできることから、採掘をおこなう企業・組織なども増加。その中には個人のパソコン・スマートフォンを採掘のリソースとして利用するためにマルウェアを仕込むような、悪質な行動を起こすケースも出てきた。中にはウェブサイトを閲覧しただけで仮想通貨を勝手に採掘するケースもあり、大きな問題となった。

参考:韓国最大の仮想通貨取引所がクラッキング被害

参考:仮想通貨の採掘を勝手に実施するマルウェアの正体

まとめ

 今回紹介してきた事件からも、サイバー攻撃の対象が企業、個人かを問わず、手口が巧妙化、大規模化していることが改めてわかるだろう。このような状況に対応するために日々セキュリティ製品も進化を続けているが、まさに「イタチごっこ」の様相を呈しているのが実情である。特に個人がプライベートで利用するアプリなどに偽装して端末に紛れ込み、来る時を待つようなマルウェアを検知することは非常に困難になっている。

 すなわち、マルウェアなどに侵入されることを前提に被害を最小化する準備・対策を整備し、起きた事象からのフィードバックを早急に以降の対策に反映させること。いわゆる「インシデントレスポンス」と呼ばれる概念が個人・組織を問わず求められる時代になりつつある。次回の「サイバー攻撃への対策 巧妙化する手口にどう備えるか」ではこの考え方も含め、どのように対策を講じるべきかを解説していく。