2020年の情報セキュリティ事件とその背景

2020年に起こった主な情報セキュリティ事件

新人「2020年のセキュリティ事件だと、印象が強かったのは電子決済に関する事件ですかね。」

先輩「個人と組織のどちらの視点に立つかでも変わってくるな。独立行政法人の情報処理推進機構 (IPA) が発表している「情報セキュリティ10大脅威 2021」で、社会的に影響の大きかった事案を紹介しているから、その中からいくつかピックアップして2020年のセキュリティ事件を振り返ってみようか。」

2020年の情報セキュリティ事件で影響が大きかったものとして、以下の3つをピックアップしてみよう。

電子決済サービスの不正利用事件

まずは個人を対象とした情報セキュリティ事件で大きかった、電子決済サービスの不正利用だ。

携帯電話会社の電子決済サービスにおいて、利用者の預金が何者かに不正に引き出された事件で、犯人は銀行口座の情報を不正に入手し、被害者に成りすましてサービス口座を開設し、犯人の口座と、被害者の銀行口座が連携され、被害者の口座から犯人の口座に不正にチャージされたというものだ。

発端となったのは大手携帯会社の口座だが、その後、他の複数の電子決済サービスでも、同じような手法で銀行口座の不正出金が確認された。

この情報セキュリティ事件の原因は、決済サービスの口座を作成するのに必要なのはメールアドレスだけで、1人で複数の口座が作成可能だったこと。そして、銀行口座との紐付けに多要素認証が使用されておらず、さらには複数回の試行ができてしまったことだ。

このシステム的な脆弱性を攻撃するために、犯人が行ったと思われる手法が「リバースブルートフォース」という攻撃方法だ。これは、口座番号と暗証番号のうち、暗唱番号を何度も試すのではなく、「1234」というような暗証番号を固定して、口座番号側を総当たりで攻撃する手法だ。

これは決済サービス口座が容易に作れ、銀行口座との接続の際の認証方法も単純だったという複数のセキュリティ面での甘さが突かれた事件だと言えるだろう。

ランサムウェアや標的型攻撃による機密情報の流出

つぎは組織が対象の情報セキュリティ事件で、ランサムウェアや標的型攻撃で企業の機密情報が流出したというものだ。

あるゲームメーカーが狙われた事件では、企業のデータを暗号化してアクセスできなくさせるランサムウェアでの攻撃と同時に、盗まれた内部情報を暴露すると脅迫された「二重搾取型」の事件がおきた。

この事件で注目すべき点は、サイバー犯罪集団による組織的な犯行というところだろう。

このようなサイバー犯罪集団による犯行は年々増加しており、これは高度な技術を持つ海外のハッカー集団が、グローバルに展開している日本企業も標的としてきた証とも言える事件だ。

予期せぬIT基盤の障害に伴う業務停止

もう一つ組織を対象とした情報セキュリティ事件としては、企業や組織が展開しているIT基盤の大規模障害による業務の停止だ。

ある自動車メーカーは、標的型の攻撃を受けて広い範囲でシステムが停止し、日本国内だけではなく、世界各国の工場において生産や出荷が停止したり、従業員の PC が使用できなくなるなど業務に大きな支障が出た。

また、サイバー攻撃によるものではないが、大規模なクラウドサービスに障害が発生することで、電子決済からオンラインゲームまでが利用できなくなったり、クラウドメールや動画配信サイトにアクセスできなくなったりするなど、クラウドサービスがインフラと化していることで、障害が思いもよらないサービスにまで影響を与えるという事が多かったように思う。

2020年に起こった情報セキュリティ事件の傾向と背景

新人「2020年に起こった情報セキュリティ事件全体でみると、何か特長とか傾向はあるのでしょうか？」

先輩「そうだね、前に紹介した IPA による「情報セキュリティ10大脅威」は毎年発表されていて、昨年度のものと比較すると2020年に起きた情報セキュリティ事件の傾向や背景が見えてくる。」

2020年の傾向としては、以下の3つがあげられる

これらは、2020年情報セキュリティ事件のまとめというだけではなく、2021年も引き続き警戒する項目として考えるべきだろうな。

ランサムウェアなどを使用した標的型攻撃の増加

2020年の傾向としての一つ目は、標的型攻撃の増加だ。

標的型攻撃とは、特定の企業や組織を狙うサイバー攻撃のことで、攻撃者は企業の機密情報の窃取や、設備の破壊・停止など明確な目的をもって行われる事が多い。

無差別なサイバー攻撃と違い、標的型攻撃の対象にされた企業や組織は、大きな被害を受ける可能性が高いんだ。ターゲットに合わせて作成したランサムウェアやウイルスメールで攻撃をしたり、ターゲットが普段閲覧するサイトにウイルスを仕込むなど、攻撃方法もカスタマイズされている。

この標的型攻撃は年々増加傾向にあり、攻撃者から脅迫されて始めて侵入された事に気が付くなど、手口が巧妙化してきている攻撃でもあるんだ。

サイバー犯罪集団による攻撃

傾向の二つ目は、サイバー犯罪集団による攻撃だ。

2020年にゲームメーカーを攻撃したのは、世界的に有名なサイバー犯罪集団によるものと考えられている。

特殊なランサムウェアを駆使するなど攻撃手法も巧妙化しており、高度な技術を武器に組織的な犯行におよぶ犯罪集団が、ITやネットワークの進化とともに世界各地に数多く生まれてきているということを示していると言えるな。

テレワーク環境に対する脆弱性を狙った攻撃

そして何よりも2020年の傾向としては、テレワーク環境に対する脆弱性を狙った攻撃の増加だろう。

2020年はパンデミックによる外出制限でテレワークが急速に浸透し、働く場所が企業のオフィスから自宅へと移ることになった。当然、オフィスのようにネットワークのセキュリティは万全とは言い難い。

企業や組織で「とりあえず」テレワーク環境を構築したような場合、企業ネットワークやシステムへアクセスする際のセキュリティ構築が十分ではない場合もあり、そうした脆弱性を攻撃者が標的にしたと言えるだろう。

情報セキュリティ事件で使われたサイバー攻撃の手法

新人「攻撃側は、抜け目なく弱いところを狙ってくるというわけですね。実際にはどのような攻撃が使われたのですか？」

先輩「攻撃方法は以前からある、メールでのウイルス添付や悪意あるウェブサイトへ誘導してのランサムウェアのダウンロード、企業や組織のウェブサイトやシステムの脆弱性を突く SQL インジェクションなどに加えて、近年増えているファイルレスでの攻撃などがある。いくつか簡単に紹介しよう。」

標的型攻撃

まずは最近増加傾向にある、標的型攻撃についてだ。

これは、特定のターゲットに絞って仕掛けるサイバー攻撃で、日本では、「高度サイバー攻撃」の一種として定義されている。

攻撃対象への嫌がらせや、盗み出した情報から金銭的利益を要求するために行われる攻撃で、攻撃対象の業務や行動に合わせたメールなどにマルウェアや悪意あるウェブサイトへのリンクを仕込んで誘導する。通常の連絡や業務内容と見分けが付きにくいために、回避するのが難しい攻撃だ。

マルウェア

マルウェアは、不正で有害な動作を行う悪意のあるソフトウェアや悪質なコードの総称で、ウイルスやワーム、トロイの木馬などが含まれる。

愉快犯や金銭目的、政治的行動などさまざまな目的で作成されたマルウェアは、ダークウェブなどを通じて攻撃者の手にわたり、さらに手が加えられて攻撃に使用される。古くからあるタイプなので、アンチウイルスソフトなど対策も立てやすいが、種類も非常に多い攻撃方法だ。

ランサムウェア

ランサムウェアは近年被害が急増している新しい攻撃で、ランサムとは「身代金」を意味している。

ランサムウェアは、マルウェアの一種で、感染したPCのファイルやデータをロックや暗号化して、ユーザーに読み取れなくしたうえで、「解除して欲しければ〇〇にXXを振り込め」などという画面を表示する。

データ復元を条件として、金銭を要求する仕組みになっていることからランサムウェアと呼ばれているんだ。2021年8月に IPA（情報処理推進機構）が発表した「情報セキュリティ10大脅威 2021」の組織部門では「ランサムウェアによる被害」が1位に選ばれている。

現在ランサムウェアは世界中で猛威をふるっていて、被害額は 2021年上半期だけで 4,500万ドル(約49億3,875万円)にもおよぶ。米国では同国最大の石油パイプライン会社がハッカーに身代金を支払うなど、社会的に影響の大きな事件も数多く発生している。

日本でも大手自動車メーカーの工場が生産停止に追い込まれたり、ソフトウェア会社が約 2,000台のデバイスのファイルを暗号化され、約11億円もの身代金を要求されるなど、大手建設業や電機関連、医療機器関連などの大手メーカーで被害が発生している。

さらにランサムウェアの標的は大企業だけにとどまらず、中小企業や地方の病院などもランサムウェアに感染し、データが使用できなくなったりシステムの入れ替えが必要なるなど、業務に多大な影響を受けている事例が後を絶たない。日本の IT セキュリティ担当者 200 人を対象としたある調査 (※1) では、半数を超える52％が、データを暗号化されるなどの被害を受けたと回答しているし、日本企業で暗号化されたデータを復元するために、実際に犯行グループに支払ったとされる身代金の平均額は 110万ドル (約1億1,400万円) にも上るんだ。

業務で使用する PC がオフィス外に持ち出されたり、外部から社内システムにアクセスしてビジネスを進めるなど、長引くコロナ禍によって進んだリモートワークの導入によるセキュリティの脆弱な部分が、ランサムウェアを使用して金銭などを要求する犯罪者に狙われている側面もあると言われている。日本での被害の拡大を受けて内閣府による内閣セキュリティセンターが、ランサムウェアの特設ページを開設してランサムウェアへの注意喚起を行っているほどだ。

※1 CrowdStrike, 「2020 CrowdStrike Global Security Attitude Survey

フィッシングサイト

マルウェアが送りつけることによる攻撃なら、フィッシングサイトは待ち受け型の攻撃だ。

フィッシングサイトは、クレジットのカード番号や、アカウント情報（ユーザID、パスワードなど）といった重要な個人情報を盗み出すためのサイトだ。

見た目では実際のネットバンキングや業務システムと見分けが付かないものも多く、重要な情報を入れる時には正しいサイトかどうか、ドメインや URL、認証情報などを確認することが必要だな。

最近ではPC だけでなく、スマートフォンのメッセージやチャットアプリなどからフィッシングサイトに誘導される手口も増えているんだ。

ディープフェイク

金銭や情報の搾取ではないが、プライバシーや人権侵害などを攻撃するのがディープフェイクだ。

これは、PC による画像加工を悪用して、本人とそっくりのニセ画像や動画を作成するものだ。AI の進化により、動画の加工も可能になってきており、一見しただけでは人工的に作られたものか判別が難しいものも増えてきた。

現在はディープフェイクの96％はポルノ目的で、主に著名な女性たちが被害を受けているが、これからさらに技術が進化するとネット上の動画の真偽が問題になる時が来るだろうな。

ファイルレス攻撃

近年急速に増えてきたのが、ファイルレス攻撃だ。

これは、従来のマルウェアによる攻撃とは違い、標的となる PC に悪意あるソフトウェアをインストールするのではなく、Windows 自体のツールをハイジャックして攻撃する。

動いているのは正規のプログラムなので、従来のアンチウイルスソフトやセキュリティシステムでは攻撃を受けていても検出できず、熟練のセキュリティアナリストでも攻撃の痕跡を見つけるのが困難だ。

パスワードリスト/アカウントリスト攻撃

パスワードリスト・アカウントリスト攻撃は、不正入手した ID とパスワードで正当な方法によりログインするサイバー攻撃だ。

ID とパスワードを使い回して、複数のシステムに使用している率は非常に高く、成功率の高い攻撃と言われている。

一つ突破されると、あらゆるサービスでハッキングされ、大きな被害を受ける可能性が高い攻撃だ。

まとめ

新人「情報セキュリティ事件の傾向を見ると、世の中の動きに合わせて変化するのは攻撃側の方が早いという気がしますね。」

先輩「防御側より攻撃側が有利なのは現実でも、サイバー空間でも変わらないという事だな。」

新人「攻撃を受けて万が一情報が漏えいしたら、企業の経営にも大きな影響を与えますし、一切気が抜けないですね。」

先輩「サイバー攻撃は、AI などを使用して急速に進化しているから、セキュリティ対策も常に更新し続ける必要があるという事だな。」

SB C&S では、デバイス毎の振る舞いを監視する EDR（Endpoint Detection and Response）を提供してエンドポイントのセキュリティを強化する、クラウドベースのセキュリティソリューション「VMware Carbon Black Cloud」や、セキュアなデジタルワークスペースによりゼロトラストセキュリティを実現する「 VMware Workspace ONE 」など、VMware Security による本質的なセキュリティを実現するさまざまなソリュ―ションを提供しています。詳しくは、下記の製品ページまたはソリューションページをご確認ください。