キヤノンMJ/サイバーセキュリティ情報局
コロナ禍に便乗した国内でのサイバー攻撃の実態
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「コロナ禍で発生する、国内向けサイバー攻撃の実態とは?」を再編集したものです。
2020年は、新型コロナウイルスが世界に大きな打撃を与えた年として歴史に残ることになるだろう。そして、その裏で猛威を振るっていたのがサイバー攻撃である。昨年はコロナ禍に便乗したサイバー攻撃によって、大きな被害を受けたところもある。この記事では、国内のサイバー攻撃の実態と講じるべき対策について解説する。
コロナ禍とサイバー攻撃の関係とは
世界中に大打撃を与えたコロナ禍の裏で、連日報道されたサイバー攻撃関連のニュースには、重大なインシデントに至ったケースも含まれる。コロナ禍に便乗した攻撃が急増したことは、2020年におけるサイバー攻撃のトレンドだろう。このようなサイバー攻撃は、以下の2つに分類できる。
1) コロナ禍によって進むDX(デジタルトランスフォーメーション)を狙う攻撃
コロナ禍の影響でリモートワークを導入する企業が急増したものの、急ピッチで用意したリモートワーク環境はセキュリティ対策が脆弱であることが少なくない。そうした不慣れな企業のリモートワーク環境や、急遽導入した追加システムの不備を狙う攻撃も増加している。世界的な傾向に目を向けると、リモートデスクトップに用いるプロトコルであるRDPを狙った攻撃や標的型攻撃メールなどが相次いでいる。
2) コロナ禍で不安に陥っているユーザーを狙う攻撃
健康面、経済面で不安を抱えるユーザーに対し、給付金の支給を騙る内容のメール、あるいは新型コロナウイルスの特効薬やワクチンの提供を騙るメールといった、コロナ禍に便乗したフィッシングメールが確認されている。このようなフィッシングメールは、信用させるために公的機関や医療機関を騙るものも多く、信じてしまいがちだ。
2020年の国内におけるサイバー攻撃の特徴
年々巧妙化、高度化の一途をたどっているサイバー攻撃だが、2020年の日本国内における特徴は以下のとおりだ。
1) 個人を狙うサイバー攻撃の特徴
・コロナ禍に関連する多様な詐欺手法
医療機関や公的機関になりすまし、新型コロナウイルス関連の偽メールを送る手法が急増した。例えば、保健所や官公庁を騙った、給付金やワクチン接種に関連する詐欺メールが確認されている。引き続き、新型コロナウイルス関連の情報が記載されているメールを受け取った場合には注意が必要である。
・著名なウェブサービス、大手企業を騙る詐欺手法
AmazonやGoogleなどの著名なウェブサービスや大手配送業者などになりすましたフィッシングメールは依然として多い。数年前と比較すると、メールの文面も洗練され、偽メールかどうかの判別が難しくなってきている。
・モバイル決済、ネットバンキングなどの不正利用
モバイル決済やネットバンキングのユーザーを狙った攻撃も年々増加傾向にある。いわゆるシステム側のバグといった脆弱性を狙うにとどまらず、ログインの仕組みを熟知して巧みに潜入するような手法がとられるケースもある。
ワンタイムパスワードはネットバンキングで頻繁に利用されるようになっているが、2019年秋ごろからワンタイムパスワードが破られるケースが増えてきた。偽サイトにユーザーを誘導してIDとパスワードを盗み取り、その情報を元に正規のネットバンキングにログイン。銀行からユーザーにワンタイムパスワードが送られるタイミングにあわせ、偽サイトの表示をワンタイムパスワード入力画面に変更し、ワンタイムパスワードを入力させるという手口だ。
個人を狙うサイバー攻撃の被害が増大した理由のひとつとして、ディープラーニングに代表されるAI技術の進化で、より自然な日本語翻訳が可能になったことも挙げられる。数年前まで、海外の攻撃者が送りつけるフィッシングメールは、日本語が不自然なことから偽物だと気づくことも多かった。しかし、最近は違和感がないレベルの自動翻訳が可能となり、偽物だと気づきにくくなっている。本来有益であるはずの翻訳技術の進化が詐欺に悪用され、被害増大に一役買っているという皮肉な様相を呈している。
2) 企業を狙うサイバー攻撃の特徴
・多様な経路から侵入する手法
以前は直接ウェブサーバーの脆弱性を狙うなど、シンプルな攻撃が中心だった。しかし、最近は複雑かつ多様な経路で侵入を試みるようになっており、対処が難しくなっている。例えば、VPNを狙う攻撃としては、正規ユーザーのアカウント情報を入手し、本人になりすまして侵入するケースとVPN装置自体の脆弱性を突くケースがある。また、Zoomについてはインストーラーにマルウェアを仕込む攻撃が確認されている。この場合、Zoom本体は問題なく利用できる正規のものであるため、ユーザーは気づくことが難しい。そして、サプライチェーンを狙う攻撃として、バックドア型マルウェア「Sunburst」を使った攻撃が日本でも確認されている。
・クラウドサービスを狙う攻撃手法
クラウドサービスを利用する企業が増えた結果、攻撃のターゲットとなりつつある。例えば、ユーザーがどこからでもアクセスできるという特性を突いた、盗聴や不正アクセスなどといった攻撃が挙げられる。また、クラウドツールを悪用するマルウェアとして、Slackを悪用するランサムウェアやDiscordを悪用してマルウェアの拡散を狙うメールなども確認されている。他にも、2020年にはクラウドサービスの設定不備が原因となった情報漏えいが相次いで発生している。クラウドサービスを利用する際は、設定に不備がないか、入念にチェックすべきであろう。
・侵入後の内部活動を組み合わせた攻撃手法
企業内のネットワークに侵入後、セキュリティ対策を無効化する、あるいはハッキングツールを利用するといった内部活動が多く見られるようになったことも、最近のサイバー攻撃の特徴である。こうした内部活動により、企業が受ける被害はさらに拡大していくことが見込まれる。
また、単にデータを暗号化して使用不可にするだけでなく、盗んだ情報を公開すると脅迫する「暴露型ランサムウェア」に感染してしまうことで、実際に情報漏えいを招いた企業も増えつつある。
サイバー攻撃とは?その全体像を理解する
https://eset-info.canon-its.jp/malware_info/special/detail/190110.html
2020年に国内で発生した主なサイバー攻撃の事例
2020年に国内で発生した主なサイバー攻撃の事例を3つ紹介する。これらは大きな被害が出て、社会問題となった事例だ。
・大手携帯電話事業者の電子決済サービスから不正引き出し
銀行口座の情報を不正に入手した犯罪者が被害者になりすまし、携帯電話事業者の決済サービスにて口座を作成。被害者の銀行口座から、それらの口座に送金するという手口が行なわれた。サービスの仕組みにおける、本人確認の甘さが攻撃者に狙われる形となった。この事例ではサイバー攻撃のエコシステムを駆使し、進化形のリスト型攻撃が行なわれていたとも言われている。
・大手ゲームメーカーが受けた「暴露型ランサムウェア」
大手ゲームメーカーが受けたサイバー攻撃では、およそ39万件もの顧客情報が流出した可能性が疑われている。このサイバー攻撃は、データを暗号化するだけでなく、内部情報をインターネット上に公開すると脅迫する「暴露型ランサムウェア」によるものとされている。暴露型ランサムウェアは、2019年末に登場し、2020年春以降に被害が急増した。
・総合電機メーカーが使用していたクラウドサービスへの不正アクセス
総合電機メーカーが使っていたクラウドサービスに対して外部から不正アクセスがあり、国内の取引先の銀行口座など8000件超が流出した。その後の調査によって、中国にある子会社への不正アクセスをきっかけに、従業員のアカウントが盗まれたことが原因とされている。
これからの時代に講じるべき対策とは
2020年のサイバー攻撃は、過去最大の被害件数を記録したが、2021年もさらに攻撃の増加が見込まれている。ここまで見てきたように、高度化・巧妙化を遂げるサイバー攻撃に対抗するには、社内ネットワークと外部ネットワークの境界線で食い止めようとする、従来型の「境界線防御」という手法に限界が見えてきている。攻撃によって侵入されることを前提とした、インシデントレスポンスの考え方をベースに、被害を最小限に抑える「EDR」や「ゼロトラストアーキテクチャー」など対策が求められている。
EDRとは? エンドポイントセキュリティに求められる侵入検知と対応
https://eset-info.canon-its.jp/malware_info/special/detail/200206.html
ゼロトラストアーキテクチャーとは、社内ネットワークに流れている通信ですら無条件で信頼しないという考え方だ。社内ネットワークに流れている通信は信頼できるもので、外部ネットワークからの通信のみに注意を払うべきとする従来の考え方とは一線を画すものである。「すべての通信アクセスを信頼しない(ゼロトラスト)」という前提のもと、継続的にスレットハンティングなどの調査やログ取得を積み重ねることで、攻撃の芽を未然に摘むことを目的とする。
脅威を見つけ出すスレットハンティングとは?
https://eset-info.canon-its.jp/malware_info/special/detail/201007.html
ログからは分からない脅威-スレットハンティングの世界ー
https://cweb.canon.jp/it-sec/solution/netwitness/lp/webinar20201223/
リモートワークが浸透した結果、ネットワークにおいて社内外の境界が曖昧になりつつある。企業におけるDX(デジタルトランスフォーメーション)が政府主導で進められいく状況下において、ゼロトラストの「通信アクセスをすべて可視化/検証する」、「すべての記録(ログ)を残す」、「必要最低限の認可をユーザーに与える」といった考え方に舵を切ることは、もはや社会的な要請とも言えよう。