【ポイント解説】令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について

昨今、メディアの報道で「サイバー攻撃」という単語を目にすることが増えました。しかし、まだまだ自分とは縁のない話、と思っている人も多いのではないでしょうか。

過去、イタズラの延長で行われていたサイバー攻撃ですが、現在は目的とターゲットを明確に持つ犯罪行為へと変容しつつあります。有名な「振り込め詐欺」や「フィッシング」などはサイバー攻撃の氷山の一角に過ぎません。

そのため、警察でも専門部署を作って対応を進めるとともに、サイバー攻撃の危険性を広く伝える活動を行うようになりました。こうした中、警察庁では毎年「サイバー空間をめぐる脅威の情勢等について」という資料を公開しています。

本記事では、2022年9月に公開された「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」（以下、「資料」と表記）から、最近のサイバー攻撃の状況や傾向についてのポイントを解説します。

サイバー空間の脅威情勢についての概説

資料では、サイバー空間における脅威について次の点に注目する必要があるとしています。

• ランサムウェアによる感染被害
• 不正アクセスによる情報流出の相次ぐ発生
• 探索行為と見られるアクセス

国内においては、「サイバー空間をめぐる脅威は、極めて深刻な情勢が続いている」と評価しています。例として挙げられているのは、ランサムウェア、サイバー攻撃や不正アクセスによる情報流出、Emotetの新たな感染手口の出現などです。

また、国外においては、石油・港湾関連施設や運送会社、航空関連企業等に対するランサムウェア攻撃、政府機関や重要インフラ分野の関連企業・施設等に対するサイバー攻撃も頻発しているとしています。後者については、国家の関与が疑われるものが見られるとしており、ウクライナ情勢をはじめ、国際情勢の変化による影響にも注意を払う必要がありそうです。

令和4年上半期における脅威の動向

ここからは、資料を参考に令和4年上半期における脅威の動向について詳しく解説していきます。

ランサムウェアの情勢と対策

「ランサムウェア」とは、マルウェア（不正プログラム）の1種で、感染すると端末等に保存されているデータを暗号化して使用できない状態にするものです。攻撃者は、データを復号する対価として金銭を要求します。近年は暗号通貨による支払いを要求することが多いです。

資料によると、被害件数は114件と調査を開始した令和2年下半期以降、右肩上がりで増加しています。

（出典：「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」より）

最近の傾向としては、データの暗号化だけでなく、窃取も行い「対価を支払わなければ当該データを公開する」として金銭を要求する二重恐喝（ダブルエクストーション）が多くなっています。マルウェアの侵入経路としてはVPN機器などのネットワークインフラの脆弱性が狙われている傾向です。

ランサムウェアのようなサイバー攻撃は大企業がターゲットだと思われがちですが、報告からは中小企業において多く発生していることがわかります。中小企業は、大企業に比べるとセキュリティ対策が未整備な場合が多いことが多く、インシデントにまで発展しやすい傾向があります。また、最終的には大企業をターゲットとしながらも、その踏み台として子会社や関連企業を狙う「サプライチェーン攻撃」が増えているといった攻撃者側の手口の変化も理由として考えられるでしょう。

（出典：「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」より）

資料では、被害報告のあった企業に対して行った被害実態についてのアンケート結果を公開しています。ランサムウェア被害後、復旧までに1か月以上を要したものも多く、事業活動への深刻なダメージが危惧されます。また、調査や復旧のための総額は1000万円以上を要したものが55%を占めています。

（出典：「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」より）

感染経路としては、VPN機器、リモートデスクトップ、不正メールや添付ファイルといった経路からの侵入が確認されています。機器等の脆弱性対策や認証情報の管理など、不正アクセス対策の強化が急がれる状況です。

（出典：「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」より）

近年のランサムウェア被害では、窃取データの公開をほのめかしての脅迫が見られます。金銭支払いを拒んだ日本国内の企業の財務情報や、関係者、顧客などの情報がダークウェブ（※）やリークサイト（※）に公開された事例もありました。

※ダークウェブ：一般的なブラウザではアクセスできず、特定のアプリケーションを通してのみアクセスできるインターネット上のWebサイト。匿名性が高く、犯罪行為に利用されることも多い。

※リークサイト：ダークウェブ内に存在する、窃取データの暴露を目的としたWebサイト。

こうした状況を受け、警察では中小企業や医療機関を中心としたランサムウェア対策やセキュリティ強化についての注意喚起を行っています。

主なサイバー攻撃事例

ランサムウェアは被害も大きく、件数も増加していますが、他にもさまざまなサイバー攻撃が行われています。令和4年の上半期に起こった事例として、資料では次の2つを挙げています。

• 複数の化学企業におけるマルウェア感染（1月）
• 大手システム事業者等に対する不正アクセス（5月）

令和4年1月には、複数の化学企業においてマルウェア感染が確認されました。自社で運用するサーバにおいて不正アクセスがあり、サーバ内の情報の一部が外部に流出した可能性があると発表。同社のグループ企業においても同様の可能性があると発表しています。

令和4年5月には、大手システム事業者及びグループ会社にて、一部の通信制御装置の脆弱性を悪用され、不正アクセスがあったことが確認されています。装置を通過した通信パケットが窃取された可能性があるとのことでした。

報告に基づくこうしたインシデント事例は、氷山の一角に過ぎません。自社や取引先企業にも、同様の脅威が起こりうると考えて対策を進めることが大切です。

フィッシング等に伴う不正送金・不正利用の情勢と対策

近年のサイバー攻撃では、フィッシングによって金融機関口座の情報を取得し、不正送金や不正利用を行う攻撃が個人・企業を問わず行われているため注意が必要です。

資料中のデータでは、インターネットバンキングに関連した不正送金は前年同期と比べて発生件数、被害額とも減少となりました。啓蒙活動が一定の成果につながっていると見られますが、攻撃が止む気配は見えないため、引き続き警戒が必要です。

資料では、フィッシング等の被害実態について次のような傾向を指摘しています。

• 令和元年よりSMSで金融機関を装ったものが増加
• IＤ・パスワード、ワンタイムパスワード等が窃取され不正送金される。
• 令和4年上半期では銀行ではなくカード会社や通信事業者を装う例が多い。

メールやSMSのメッセージ内にURLリンクがある場合は、送信者や内容、URLのドメインなどが正式なものであるかを必ず確認するようにしましょう。フィッシングによるリスクを下げるためには、定期的なメール訓練の実施や、メールセキュリティ製品の使用が有効です。

（出典：「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」より）

サイバー空間の脅威情勢

引き続き、資料中からサイバー空間における脅威の情勢について、注目すべきポイントを解説します。

サイバー空間における脆弱性探索行為の観測状況

「脆弱性探索行為」とは、システム中の攻撃可能な部分を探すことです。ランサムウェアなどのサイバー攻撃の前段階として漸弱性探索行為は行われています。

警察庁では、インターネット上に通信パケットを収集するセンサーを設置して調査を行いました。その結果、1日・1IPアドレスあたり7,800.3件の脆弱性探索行為と思われる通信が確認されており、調査開始以降、高水準で推移を続けています。

（出典：「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」より）

脆弱性探索では、不特定多数の機器に対して通信パケットを送信し、その返信内容から機器や脆弱性の有無について情報を収集します。脆弱性がある場合、不正アクセスやDDoS攻撃、マルウェアによる攻撃が行われるリスクが高まりますので、ハードウェア、ソフトウェアなどのアップデートはしっかり行うことが大切です。また、ネットワークに接続できる機器のパスワードは初期状態から変更しておくようにしましょう。

資料では、海外からのアクセスが増加している点を指摘しています。1日あたりのアクセス数は国内からは44.6件であるのに対し、海外からは7755.7件でした。

（出典：「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」より）

また、近年はIoT機器の普及により攻撃対象が増加しているため、コンピュータだけでなくインターネットに接続可能な機器に攻撃対象が広がっています。資料では、IoTの使用ポートである1024番以降のポートへのアクセスが大部分を占めている点を指摘しています。

（出典：「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」より）

その他、Miraiボットの特徴を有するアクセスが継続して検知されており、IoT機器において脅威が継続している状況があると指摘しています。Miraiボットとは、ボットネット（※）を作成するために使われるマルウェアです。感染すると攻撃者による遠隔操作が可能になり、サイバー攻撃に参加するようになってしまいます。

※ボットネット：遠隔操作が可能なボットで構成されるネットワーク。攻撃者の指示によりマルウェアの配布やDDoS攻撃などのサイバー攻撃を行う目的で利用される。

単一の送信元から、多くの対象に対しパケットを送って脆弱性探索を行っている様子が挙動から推測されています。1日100個以上の宛先ポートへのアクセスを行った送信元IPアドレス数は341.8個で、前年同期比で41%と急増。探索行動の広範囲化や網羅的な情報収集など、攻撃の高度化が懸念される状況です。

（出典：「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」より）

標的型メール攻撃

標的型メール攻撃とは、特定のターゲットに対し、機密情報の入手を目的に巧妙に作りこまれたメールを送る攻撃です。ビジネスで欠かせないメールを利用した攻撃は、ランサムウェアやマルウェアの感染経路になったり、不正にアカウントを窃取されたりすることもあるため十分に注意しましょう。

警察では、全国の企業とノウハウや情報を共有するCCIネットワークを構築し、情報窃取を目的としたサイバー攻撃の分析や注意喚起を行っています。資料では、このCCIネットワークから報告があった標的型メール攻撃の事例を紹介しています。

シンクタンクに対する攻撃事例では、不正プログラムが仕掛けられた添付ファイルを開くよう誘導するメールが送信されていました。また、医薬品メーカーへの攻撃事例では、添付ファイルから偽のパスワード入力画面に遷移させて認証情報を窃取しようとする標的型メールが確認されています。

資料では令和4年上半期に、事業者等に対して、業務に関連した精巧な内容の標的型メールが確認されたと報告しています。パスワード等の窃取を企図したと見られるフィッシングメールをはじめとする不審なメールも確認されており注意が必要です。

社内教育やメール訓練などを通じて対応を学んだり、注意喚起をしたりすることが基本的な対策になります。また、不審メールを検知するためのメールセキュリティの導入も効果的です。

主なサイバー犯罪の現況

その他、主なサイバー犯罪についても資料中で報告されています。サイバー犯罪とは犯罪行為の種類を指し、サイバー攻撃はその攻撃手段を意味します。

資料では、主なサイバー犯罪として「不正アクセス禁止法違反」と「コンピュータ・電磁記録対象犯罪」の状況について紹介しています。

令和4年上半期における不正アクセス禁止法違反の検挙件数は233件と、前年同期と比べて89件の増加が見られました。そのうち、全体の93.1%は識別符号窃用型、つまりユーザー名やパスワードといった認証情報を窃取するものです。

（出典：「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」より）

手口としては「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」が最多の46.1%となっており、認証情報の管理について意識を高める必要があると言えそうです。

また、被疑者が不正に利用したサービスでは「オンラインゲーム・コミュニティサイト」が最多で、次いで「社員・会員用等の専用サイト」となっています。「インターネットバンキング」や「インターネットショッピング」といった金銭的被害に直結する事件も10%超ありますので注意しましょう。

（出典：「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」より）

令和4年上半期におけるコンピュータ・電磁的記録対象犯罪の検挙件数は330件となっており、前年同期と比べて11件増加しています。うち、電子計算機使用詐欺が318件、全体の96.4%と最多となっています。これは、コンピュータやATMなどの端末等に不正にアクセスしたり操作したりする犯罪です。

（出典：「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」より）

まとめ

警察庁の資料からは、国内外を問わず、高度化する外部からの攻撃への対応が重要度を高めている状況がわかります。

サイバーセキュリティの基本的な対策、たとえばセキュリティソフトの使用やOSのアップデートなどは依然有効です。しかし、高度化するサイバー攻撃に対応するためには、最新技術による保護が必要になるケースも多いでしょう。また、個人のセキュリティ意識・知識の向上もサイバー攻撃から個人や組織を守るためには欠かせません。

シマンテックセールスセンターでは、製品情報にとどまらず、情報セキュリティに関する情報を定期的に発信していきます。ぜひご活用いただき、個人や組織のリテラシーの底上げにご活用ください。