トレンドマイクロが振り返る国内サイバーリスク動向
2024年も猛威を振るったランサムウェア、求められる「リスクの可視化」と「セキュリティ前提の契約」
2025年01月16日 08時00分更新
トレンドマイクロは、2025年1月8日、2024年における国内のサイバーリスク動向を解説するメディア向けセミナーを開催した。
トレンドマイクロのセキュリティエバンジェリストである岡本勝之氏は、「2024年は“サイバーリスクの放置が組織のインシデントに直結する”ことが象徴的な1年だった」と振り返る。加えて、サイバーリスクは「脅威」「脆弱性」「資産」で構成されると説明。独自データや象徴的なサイバー被害を紹介しながら、各領域における日本企業の課題について解説された。
脅威:ランサムウェア被害公表数は過去最大を更新
まずは、2024年における脅威動向の振り返りだ。「ここ数年ずっとだが、2024年に一番被害を生んだ脅威はランサムウェア」と岡本氏。
2024年に国内企業が公表したランサムウェア被害の数は、12月15日時点で84件に上り(トレンドマイクロ調べ)、過去最大を更新した。2月のランサムウェアグループ「LockBit」のテイクダウンなど、法執行機関の捜査等も活発化しているが、被害の数は年々拡大している。
その背景として岡本氏は、「攻撃者のレジリエンスも高まっており、ランサムウェアグループもリブランドを繰り返している。LockBitは名称を変えていないが、目先を変えて攻撃を継続するグループが多い」と説明する。実際に、2024年はランサムウェアグループの新旧交代が進んだ年であり、例えば、LockBitの勢いは後半から落ち、 2月に現れたRansomHubの活動が目立つようになった。10月時点では、2022年以降に活動を始めたランサムウェアグループの割合が9割に達している。
脆弱性:軽視される脆弱性対応と特権管理の落とし穴
続いて、攻撃者が付け入る「組織の弱点」である脆弱性の振り返りだ。「ソフトウェアの脆弱性を含む、組織内の弱みをつぶせていないことが、被害につながっている。侵入後の特権管理にも落とし穴が生まれている」と岡本氏。
脆弱性パッチ適用までに要する時間(MTTP)のグローバル比較調査において、日本は対象地域の中で最も対応が遅く「36.4日」と、全体平均(29.3日)の約1.2倍かかっていた。一番早い欧州地域と比べると、10日もの差が生まれている。
こうした脆弱性対応の甘さにつけ込まれた例として、「ECサイトの情報漏えい」が挙げられた。2024年には、実に30件の情報漏えいが公表されており(トレンドマイクロ調べ)、平均被害期間が約2年9か月と、長期間情報を取られ続けている点が特徴だ。また、発覚理由に着目すると、自社で被害に気づいたケースはわずか1件のみであった。
これらの被害は、2019年から観測されている「Water Pamola(ウォーターパモラ)」というECサイト構築ツールの脆弱性を狙った攻撃キャンペーンによるものとみられる。当時、この脆弱性は積極的に注意喚起されていたが、多くの企業が気付かずに放置していたのだ。
もうひとつ岡本氏が指摘したのが、「特権管理の不備」だ。侵入後に、管理者アカウントを奪取されたり、権限昇格されたりすると、攻撃者はネットワーク内を自由にアクセスでき、設定変更も可能になってしまう。トレンドマイクロでは、顧客への対応支援の中で、侵入から2時間経たずに一般アカウントから管理者アカウントに昇格する攻撃事例にも遭遇しているという。
特権管理には色々な落とし穴があり、例えば、日常的に特権アカウントを使ってログインするだけでもリスクになり得る。現在、端末上でログイン中の認証情報を詐取するツールや手法が登場しており、特権アカウントで日々リモートメンテナンスを実施していたことから、認証情報を奪取された事例もある。この事例では、ユーザーはそのアカウントに特権が付与されていることを自覚しておらず、「運用上の弱点を突く攻撃が増えている」と岡本氏。