ロシアによるサイバー攻撃の脅威

ロシアのウクライナ侵攻により、世界各地で危険度を増した新たなサイバーセキュリティの脅威が発生しています。日本政府が西側諸国に足並みを揃え、ウクライナへ侵攻したロシアに対する経済制裁を決定したことで、日本企業はロシア系の悪辣なアクターからサイバー攻撃を受ける可能性に対して警戒する必要があります。

国際政治や民間の専門家は、制裁に対抗してロシアがサイバー攻撃を行うことが懸念される中、制裁を科している国はより一層の警戒が必要であると警告しています。対露制裁への報復として、ロシアからのマルウェアランサムウェアによる官民双方への攻撃が拡大する可能性があると見られています。

クリミア半島の併合以来、ロシアは外交政策の要として情報戦(フェイクニュース)とサイバー攻撃を活用し、自国の利益に有利な国際情勢を作り出そうとしています。ロシアの情報戦の効果は、2016年の米国大統領選挙に影響を与えることを狙い、数千もの偽のソーシャルメディアアカウントを作成して捏造記事や誤解を与える情報を流布した「ロシアゲート」事件で証明されました。これに続き、2020年12月には、ロシアが同年の3月頃からSolarWinds社のOrionソフトウェアの脆弱性を悪用した大規模なサイバー攻撃を行っていたことが発覚し、そのサイバー攻撃の深刻な影響が明らかになりました。こうした攻撃により、複数の米国政府機関や地方自治体、重要な民間企業などから、想像を絶する規模で重要な情報が盗取されたと見られています。この種の攻撃としては、米国史上最悪のものでした。

日本でもここ数年、サイバー攻撃の被害が起こっています。2020年10月に英国外務省が報じたように、ロシア連邦軍参謀本部主計局(GRU)が東京オリンピック・パラリンピック競技大会組織に対してサイバー偵察を行っていたことが判明しました。2021年6月には、日本オリンピック委員会(JOC)が、前年4月に受けたサイバー攻撃により、PCやサーバーに保存されていたデータが書き換えられて運営業務の停止に追い込まれ、約3,000万円をかけてPCやサーバーを約60台入れ替えたことが公表されました。

日本のビジネスリーダーは、サイバー攻撃の標的になるのは大組織や政府機関だけではないということを認識する必要があります。サプライチェーンを構成する中小企業は、ハッカーにとって侵入が容易なバックドアとなることが多いため、リスクの深刻度が大きいと言えます。

西側諸国による制裁措置の実施以来、ロシアのサイバー攻撃の脅威が高まり、世界中で警戒レベルが引き上げられています。米国国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、米国のすべての組織に対し、ハッキング攻撃が迫っており、「盾を構える時だ」と警告しています。

英国でも同様に、ナショナルサイバーセキュリティセンター(NCSC)が、攻撃のリスクが高まっていることを警告し、早急にデジタル防御を強化するようにと呼びかけています。

最近の日本におけるサイバー攻撃の実情

日本政府も、全国の企業や団体などの組織に向けてサプライチェーンの見直しやサイバーセキュリティの強化を呼びかけています。

帝国データバンクが3月中旬に1,500社以上の日本企業を対象に行った調査によると、回答者の28.4%が調査前の1か月以内に自社のシステムに対するサイバー攻撃を検知しています。ハッカーの標的となった日本企業には、大企業とその海外の子会社に加え、サプライチェーンの一部である中小企業も含まれます。

警察庁の発表によると、昨年、ランサムウェア攻撃の被害を受けた企業や組織は146社にのぼります。そのうち79社は中小企業で、全体の54%を占めています。最も多く発生したサイバー攻撃はランサムウェアによるものでした。ランサムウェアとは、感染したコンピューター内のデータを暗号化し、復号化の交換条件として金銭を要求するようにプログラムされたコンピュータウイルスです。

2月24日に日本が米国の対露制裁に加わり、国際決済システムSWIFTからのロシア系銀行の排除を発表して以来、日本の有名企業数社がサイバー攻撃を受けています。これらのほとんどは、ランサムウェア攻撃であったと見られています。2月27日には、ブリヂストンの海外子会社であるBridgestone Americasがサイバーインシデントを検知し、南北アメリカの複数の工場で操業停止を余儀なくされています

その翌日には、トヨタ自動車の部品供給会社である小島プレス工業株式会社が、サイバー攻撃によるシステム障害を起こし、3月1日に国内の全工場が操業停止に追い込まれました。さらに3月10日には、自動車部品メーカーのデンソーがドイツのグループ会社のネットワークに不正アクセスを受けるという事態が発生しています。その2日後の3月13日には、森永製菓のサーバー数台が不正アクセスを受けました。このインシデントにより、社内のITシステムの一部に障害が発生し、一部の製品の製造に影響が出ました。

サイバー攻撃は対岸の火事ではない

ロシアへの制裁措置により、日本の企業は今後もサイバーセキュリティに対する脅威を受け続けることが予想されます。したがって、デジタル防御の強化のために迅速な対応をとる必要があります。

また、ロシア系の悪辣なアクターの直接の標的になっていない企業でも、その活動次第でサイバー攻撃を受ける可能性があることも忘れてはなりません。2017年の例として、ロシア政府と国家の支援を受けた脅威アクターがNotPetyaというマルウェアを使ってウクライナにサイバー攻撃を仕掛け、世界で最も破壊的なサイバー攻撃が発生しました。NotPetyaはウクライナを標的としていましたが、病院から商店、銀行の多国籍企業、巨大企業、製造業に至るまで、瞬く間に世界中に広がり、全世界で合計100億ドル以上もの被害をもたらしました。

日本のすべての企業や組織において、システムへのパッチ適用、アクセス管理の強化、多要素認証の有効化、効果的なインシデント対応計画の実施、バックアップや復元システムの動作確認、オンライン防御の正常動作の確認、最新の脅威および緩和策の情報の入手などの対応が推奨されます。

これらの対応に加えて、企業のサイバーセキュリティへの取り組みに対する最大の脅威は、依然として人的ミスであることも忘れてはなりません。成功した侵入の95%は人的な要因となっています。ハッカーはソーシャルエンジニアリングのテクニックに長けており、従業員を騙して、攻撃者が悪用できるセキュリティの脆弱性に関する重要な情報を引き出します。また、従業員がソフトウェアの更新を怠ったり、不審な活動を報告しなかったりすることもあり、こうしたミスはシステム侵入の成功につながる可能性があります。サイバーセキュリティの適切な健全性管理について従業員を訓練することは、これまで以上に重要です。

ウクライナ戦争は遠い国の出来事であり、ロシアのサイバー攻撃は現在、欧米諸国に集中しているように見えるかもしれませんが、日本は経済力があるため、将来的にロシア系の悪辣なアクターによるサイバー攻撃のターゲットとなる可能性があります。

RansomOps〜複雑なランサムウェアオペレーションの内側とランサムウェア経済〜

昨今脅威を増しているランサムウェア攻撃により大きなインシデントに見舞われる事例があとを断ちません。ランサムウェアオペレーションは、ここ数年で非常に複雑なビジネスモデルへと劇的に変化しています。

今回の資料では、ランサムウェアの攻撃者がどのようにランサムウェアオペレーション(RansomOps)の役割を実行するのか、またサイバーリーズンがどのようにソリューションを用いてランサムウェアなどの進化する攻撃に対処するのかについてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8110/