- 2024/03/14
- サイバー攻撃
過去1年間に発生したインシデントに顕著な「4つの傾向」とその対策
Post by : Cybereason Japan Marketing Team
戦争や国際紛争と連動したサイバー攻撃が世界中で多発
過去1年間に発生したサイバーインシデントの数々を振り返ってみたとき、傾向の1つに挙げられるのが、戦争や国際紛争と連動したサイバー攻撃です。2022年2月にロシアがウクライナに侵攻して以降、ロシア、ウクライナそれぞれの賛同者によるサイバー攻撃が激化しましたが、2023年10月に勃発したイスラエルとイスラム組織ハマスの軍事衝突においても、同様の傾向が見受けられます。
日本に対しても反イスラエルの政治姿勢を打ち出すハッカーグループによる攻撃や攻撃予告が相次ぎ、民間企業のサイトや国会議員のホームページなどがDDoS攻撃を受けたほか、イスラエル大使館経済部のサイトへの攻撃を行ったとする声明も発表されました。本稿執筆時点(2024年2月)でもまだ軍事衝突が終息する見込みは立っておらず、今後も同様のサイバー攻撃が行われる可能性があるため、引き続き注意が必要です。
サプライチェーン攻撃の脅威の増加とランサムウェアグループの動向
重要インフラ事業者を含む多くの企業がランサムウェア攻撃の被害に遭った結果、攻撃を受けた企業だけでなくサプライチェーン全体にまで影響が及ぶインシデントも継続して発生しています。例えば2023年7月に名古屋港のコンテナターミナルシステムがランサムウェア攻撃を受けたインシデントでは、約3日間に渡りコンテナの搬出・搬入業務が停止し、サプライチェーン全体に甚大な被害を与える事態にまで発展しました。
ランサムウェアグループの活動が活発化する一方、複数の司法機関によるランサムウェアグループに対する取り締まりの強化も進んでいます。その結果、主要な攻撃グループの幾つかが活動停止に追い込まれましたが、その後停止されたグループとの関連が疑われる新しいグループも多数出現しており、ランサムウェアの脅威は継続しています。これらのグループの攻撃手法としては、VPN機器の脆弱性の悪用や、サプライチェーンの弱い箇所を突いて侵入する手口を多用するため、これらの点に留意しながら引き続きランサムウェア対策を行うことが必要です。
裁量権を持つ従業員を狙い撃ちにする「ビジネスメール詐欺(BEC)」
経営層や会計担当者、ITサービスデスクの責任者など、企業の中で大きな権限を持つ役職にターゲットを絞った「ビジネスメール詐欺(BEC)」も増加傾向にあります。IPAが2023年8月に発表した「サイバー情報共有イニシアティブ(J-CSIP)運用状況 [2023年4月~6月]」では、その具体的な手口が実例とともに詳しく紹介されています。
一例を紹介すると、とある企業の会長や専務になりすました攻撃者が、海外関連会社の社長に対して偽のプロジェクトに協力するようメールや電話で依頼しました。幸いにもこのケースでは、海外関連会社の社長がメールや電話の主が偽物であることに気付いて事なきを得ましたが、メールには過去に正規の業務メールでやりとりされた情報が転記されており、電話も本人の声色を模倣するなど、極めて手が込んでいたといいます。今後生成AIなどの技術も悪用され、より巧妙な手口が登場することも予想されるため、一層の注意が必要です。
日米の政府機関や民間企業を狙った情報窃取型マルウェア
情報の窃取を狙った標的型攻撃も、相変わらず数多く報告されています。2023年9月には警察庁と内閣サイバーセキュリティセンター(NISC)が米国の国家安全保障局(NSA)や連邦捜査局(FBI)などと合同で、「中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について (注意喚起)」と題したレポートを公開しました。
BlackTechは主に日本と米国の政府および民間企業に対して情報窃取を目的とした攻撃を繰り返しているグループですが、それ以外にも数多くのアクターが日本の企業・組織に対して標的型攻撃を行っています。標的型攻撃においては、ゼロデイの脆弱性を悪用する傾向もあるため、万が一インシデントが発生した際の調査を迅速に行えるよう、平時からログを取得し、振る舞いを確認するための仕組みを整備しておくことが重要です。
脆弱性管理やインシデント対応の体制・プロセスの見直し
これらの近年よく見られる攻撃手法から自社の貴重な情報資産を守るためには、まずは脆弱性管理を徹底することが重要です。合わせて、平時のセキュリティ運用や有事のインシデント対応体制やプロセスに不備がないかも確認することが重要です。もしこれらを自社のリソースだけで行うのが難しい場合は、弊社でもセキュリティ対策状況を診断して今後の対策強化に向けたロードマップ策定を支援する「サイバーセキュリティプログラム評価(CSPA)」や「CSIRT構築支援」などのサービスを用意しています。
またランサムウェア対策としては、弊社が提供するEDR製品「Cybereason EDR」や次世代アンチウイルス(NGAV)製品「Cybereason NGAV」のように高度な機能を持つエンドポイントセキュリティ製品を導入し、脅威を高い精度で検知・除去できる仕組みを導入しておくことも極めて重要です。業務復旧の観点では、攻撃者にデータを暗号化されてしまっても速やかに復旧できるようバックアップを取得しておくことが推奨されます。なお近年のランサムウェア攻撃はバックアップデータも暗号化してしまうことが多いため、攻撃者の手が及ばないオフライン環境にバックアップをとることも強く推奨します。
加えて近年のサイバー攻撃の中には、セキュリティの弱い海外拠点や関連会社等から侵入し、そこからネットワーク内に活動を広げる事例が数多く確認されています。そのため、いち早く検知して対処できるようネットワーク機器のログやエンドポイントの振る舞いを常時監視する仕組みを導入することをお勧めします。加えて、インシデント対応演習等のサービスを活用し、有事の際に適切に対処できる体制・プロセスが整備できているかを検証しておくことも重要な取り組みであることを再度強調します。
【調査結果レポート】2024年版 ランサムウェア 〜ビジネスにもたらす真のコスト〜
サイバーリーズンでは、1,008名の企業のIT担当者を対象に、2024年度のランサムウェアがビジネスに及ぼす影響に関するグローバル調査を実施しました。
本レポートでは、詳細な調査結果を紹介するとともに、企業がとるべき対策として6つの核となる課題を取り上げて、それぞれの課題に対する推奨対策について紹介しています。
https://www.cybereason.co.jp/product-documents/survey-report/11873/
