2020年10月21日、サイバーリーズン・ジャパン主催のセミナー「Cybereason Security Leaders Conference」が開催されました。「トップランナーと考えるサイバーセキュリティの過去、現在、未来」というテーマで開催された本セミナーの基調講演には、株式会社サイバーディフェンス研究所 専務理事 上級分析官 名和利男氏が登壇し、「コロナ禍によるサイバー環境の変化により必然的に発生したサイバー攻撃」と題した講演を行いました。

コロナ禍において急速に高度化・多様化したランサムウェア

名和氏は、コロナ禍において傾向が激変したサイバー攻撃として、「ランサムウェア」「DDoS攻撃」「マルウェア」の3つを挙げます。まずランサムウェアに関しては、これまでのようにファイルを暗号化して身代金を要求する手口だけではなく、窃取した情報の公開をちらつかせて金銭を脅し取る手口が2019年以降に目立つようになってきました。

これはいわゆる「二重恐喝」と呼ばれる手口で、身代金の支払いを拒否してきた相手に対して、窃取した情報を独自のリークサイトで公開することで脅迫するというものです。ランサムウェア攻撃に対する備えとしては、日ごろからきちんとデータバックアップを取ることが推奨されています。しかしこの二重恐喝の手口では、たとえ被害者が暗号化されてしまったデータを自力でバックアップから復旧できたとしても、攻撃側はなお身代金の支払いを要求できます。攻撃側にとっては、より高い確率で利益を得られるため、現在では多くの攻撃グループがこの手口を使うようになっています。

さらには、窃取情報の第三者への販売で金銭を得る手口が急増しています。認証情報やメールデータなど、窃取した情報が他の攻撃に活用できるものであり、攻撃側にとって価値が高い場合は、ダークウェブの市場で高く売れる可能性があります。そのため、窃取した情報を他の攻撃グループの要求に応じて販売することで利益を上げる手口も増えてきています。

「一帯一路」の周辺地域を狙った攻撃が目立つ

また地域別に見ると、他の国・地域と比べ一足早くコロナ禍の危機から脱した中国およびその周辺において、「Teslarvng」「One-OAPlugins」といったランサムウェアの被害が多く発生しています。名和氏によれば、特に「一帯一路」に関連の深い地域を狙い撃ちにした攻撃が目立っているといいます。

「一帯一路の周辺地域の中には、経済的には大きな発展を遂げているにもかかわらず、サイバー攻撃対策はまだ手薄な企業・組織が多く存在します。そうした地域の企業を狙ったランサムウェア攻撃が多発していますので、この地域に拠点やグループ企業を展開している日本企業は、十分に注意する必要があります」

また世界的なリモートワークの普及に伴い、RDP（リモートデスクトップ）経由でのネットワーク侵入を試みるランサムウェアの活動も目立つようになりました。具体的には「Snatch」「Nemty」「REvil／Sodinokibi」「Maze」「DoppelPaymer」など、多種多様なランサムウェアによる攻撃が確認されています。

名和氏によれば、この1年間でランサムウェアの攻撃手口は急速に高度化・多様化しており、対策の難易度がかなり上がっているといいます。

「今年になって新たに発見されたランサムウェアで、現在私たちが対応しているものだけでも2桁以上の数があります。これらが短命で終わるのか、それとも急速に化けて規模が急拡大するのか、今後慎重に観察しながら対策を打っていく必要があります」

世界的に件数が増加しつつあるDDoS攻撃

DDoS攻撃に関してもコロナ禍以降、傾向の変化が見られます。これまでのDDoS攻撃はWebサーバを標的にしたものが多かったのですが、コロナ禍以降はVPNゲートウェイやメールサーバを標的にした攻撃が目立ってきました。多くの企業がリモートワークの導入によってVPNやクラウドなどへの依存度を高めており、攻撃者はまさにこれらのインフラをピンポイントで狙ってきているのです。

DDoS攻撃の件数も、コロナ禍が全世界で深刻化した2020年3～5月の間で大幅に増加しています。名和氏は「日本は特に今後、急速な攻撃の増加に備える必要がある」と警鐘を鳴らします。

「日本では昨年、ラグビーワールドカップやローマ法王来日といった国際的なイベントが開かれたタイミングで、DDoS攻撃の件数が大幅に増加しました。来年には東京オリンピック／パラリンピックの開催を控えており、再び日本を狙ったDDoS攻撃が活発化することは過去の傾向から見て明らかです」

また近年のDDoS攻撃に見られる傾向として、同氏は「恐喝／身代金要求」を挙げます。従来のDDoS攻撃は、主に抗議や恨み、錯誤誘導、虚偽の脅迫などを目的にしていましたが、近年では攻撃を止める条件として金銭支払いを要求したり、有名な攻撃グループとの共謀を示唆して脅迫してくるケースも増えてきたといいます。

まずは攻撃者の意図を正確につかむことが重要

このように急速な高度化・多様化を続けるサイバー攻撃に対処していくためには、何より「攻撃者の意図」を正確に知り、それに対する適切な手段を選んでいく必要があります。現在急速な進化を続けるランサムウェアにしても、攻撃者側の視点に立ってみると、攻撃手法が多様化しているということは攻撃グループ同士の競争も激化していることを意味します。

この競争を勝ち抜くために、攻撃グループの中には賞金付きのハッキングコンテストを実施して新たな攻撃技術を募ったり、RaaS（Ransomware as a Service）のビジネスモデルを導入して自分たちが開発したランサムウェアで攻撃を行ってくれる提携者（アフィリエイト）を募るケースも増えています。現在のランサムウェアの急速な進化の背景にはこうした事情があるため、守る側の立場もこうした背景を知った上で適切な対処を行っていく必要があります。

「これまでのサイバーセキュリティに対する概念を変革するには、ただ目の前の事象に対して都度対応するのではなく、その背後にある攻撃者の意図を知り、それらに対する本質的な対策を講じながら継続的に組織を守っていく必要があります。そのための『サイバーレジリエンス』の取り組みが、これまで以上に重要になってくると思います」（名和氏）

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606