特集記事 DX時代のサイバーセキュリティ
公開日:1.はじめに 大きく変化する社会環境のなか、DX という名の下に、さまざまな分野で急速にデジタル化が進んでいる。一方で、ランサムウェアや不正アクセスの被害は連日の様に報道され、組織にとってサイバーセキュリティへの取り組みは喫緊の課題となっている。 そのような背景の中、現在サイバーの世界がどうなっているのか、その中でセキュリティをどう考えアプローチするべきかについて記す。 2.サイバーセキュリティの課題と対応 2.1 サイバー攻撃の実態 Check Point Research社の2021年の調査によると、企業が受けたサイバー攻撃は、1週間に900を超えていると言われている。[1]また、Cybersecurity Ventures社の調査では、11秒ごとに企業がランサムウェアの被害にあっているとの結果も出ている。[2]特にランサムウェアの被害を受けた企業のうち、86.7%の企業においてビジネスプロセスに影響が出たと言われており、更にその内、29.4%はオペレーションが完全に停止したと言われている。 このランサムウェア攻撃は、基本的には身代金を要求される攻撃だが、被害にあった組織のうち、約24%が支払いに応じており、身代金の平均支払い額はグローバルで約2.5億円と言われている。[3] 日本国内においては、一部の企業がランサムウェア攻撃の被害にあった際に支払いに応じている。支払いに応じる割合は、グローバルより多く、約30%が支払いに応じており、身代金の平均支払額は約1.4億円と言われている。 この様に、サイバー攻撃の被害に遭った際に、直接的な経済損失を受けており、ランサムウェアだけでも、2021年の1年間で、グローバルで約2.8兆円を超える被害が出ている。 図1 サイバー攻撃の実態 2.2 サイバーセキュリティは世界的課題 グローバルにおけるサイバーセキュリティの課題認識として、ダボス会議のグローバルリスクレポートに着目してみる。本レポートでは、サイバーセキュリティが世界的な課題だと取り上げられている。[4] グローバルリスクレポート2022では、「サイバーセキュリティ対策の失敗」が世界にとって重大な短期的脅威として取り上げられている。コロナウイルスの感染拡大によって、先進諸国において急速なデジタル化が進み、一説には6年分の更新が僅か6カ月で起きたという事も言われている。この急速に進むデジタル化の中で、「サイバーセキュリティ対策の失敗」が世界にとって重大な短期的脅威として認識されている。 この様に、COVIT-19や地球温暖化などの様々なリスクの中でも、サイバーセキュリティの脅威は非常に大きなものだと位置づけられている。 2.3 重要インフラのサイバーセキュリティに係る 行動計画 日本国内においては、2022年6月に「重要インフラのサイバーセキュリティにかかる行動計画」の第5次計画が公開された。[5] 本計画では、サイバーセキュリティに関する取締役等の責任が非常に重く定義されている。 組織の意思決定機関が決定したサイバーセキュリティ体制が、当該組織の規模や業務内容に鑑みて、適切ではなかったために組織が保有する情報が漏洩、改ざん又は減失もしくは毀損されたことによって会社に損害が生じると、体制の決定に関与した経営層が、組織に対する任務懈怠(にんむけたい)に基づく損害賠償責任を問われると定義されている。 さらに、サイバーセキュリティ体制が適切なものであったとしても、その体制が定められた通りに運用されておらず、経営層が知ることができた、もしくは知っていたにも関わらず、長時間放置していた場合も同様に、任務懈怠という事で、損害賠償責任を問われることとなっている。 この様な動きから、日本国内においても、経営におけるサイバーセキュリティが重みを増してきたという事が言える。そのため、サイバーセキュリティという課題に対して、経営層としても組織全体として取り組んでいく必要がある。 3.攻撃者の目的とトレンド 3.1 攻撃者とその目的 サイバーセキュリティという課題に対して、経営層としても、組織全体としても取り組む必要がある状況においては、攻撃者がどこから、どの様に攻撃してくるか、攻撃に対してどの様に守りを固めたらよいのかを把握することが重要なポイントになる。 代表的な攻撃者の分類として、国家を背景としたものや、犯罪者、ハクティビスト(政治的、あるいは社会的な主張・目的のためにハッキングを行う個人や集団)、テロリスト等が挙げられる。これらの分類に基づき、各攻撃者がどのような動機をもって攻撃を仕掛けてくるか、分類することが可能である。 米インターネット犯罪センター(IC3)への被害報告数をまとめたデータを参照すると、被害報告の大多数は経済目的の犯罪者が占めていた。一方で、国家を背景とした攻撃者も、経済目的という観点で無視できない存在である。国家を背景とした攻撃者は、地政学的な動機を持って攻撃を仕掛けてくるが、その動機の1つとして、外貨の獲得が考えられる。例えば、ロシアのウクライナ侵攻においては、多額の費用がかかっているため、この費用を補填する手段の1つとして、サイバー攻撃を仕掛けている可能性がある。そのため、国家を背景とした攻撃者もまた、経済目的であると言える。 図2 代表的な攻撃者の分類 3.2 国家背景の攻撃者のトレンド 現在、経済目的の攻撃が大きなトレンドになっている。この経済目的で活動している国家を背景とした攻撃者は、重要インフラ事業者において、無視できない存在となってきている。 国家を背景とした攻撃者のトレンドを見てみると、例えば中国を背景とする攻撃者においては、経済目的以外に、知的財産や国家活動に関する情報を摂取する攻撃をしていると言われている。また、ロシアを背景とする攻撃者においては、米国や欧米諸国の政府動向の把握や、情報操作をして自分たちに有利な情報操作を行う動きが見られる。そして北朝鮮は、外貨獲得政策の1つとして、サイバー攻撃を仕掛けており、経済目的での攻撃が多く観測されている。 この様に、国家を背景とした攻撃においても、様々な目的を持って活動をしている。 また、国家を背景とした攻撃においても、標的組織や目的に応じて、様々な攻撃手法やマルウェアが用いられている。最近は、環境寄生型と呼ばれる、システムが持っている正規のツールや機能を悪用した攻撃が観測されている。 3.3 経済目的の攻撃者のトレンド 経済目的の攻撃者の活動を観測していると、攻撃がエコシステム(一般的には複数の企業が協業・連携することで収益を上げる仕組み)となっている事が分かってきた。 このエコシステムにおいて、攻撃の実行者はアフィリエイターやアフィリエイトと呼ばれている。このアフィリエイターは、高度な技術力は持たず、攻撃手段を提供するサービス事業者から、攻撃のための手段を購入し、攻撃を仕掛けている。この仕組みの1つに、RaaS事業者がある。これは、誰でも容易にランサムウェア攻撃を仕掛けられるサービスを提供している事業者であり、アフィリエイターは、このRaaS事業者の基盤を利用して、攻撃を仕掛けている。この攻撃の対価として、アフィリエイターは身代金を手にするが、その身代金のうち何割かを事業者に支払うシステムになっており、アフィリエイターが増えるほど、RaaS事業者も儲かる仕組みになっている。 この様に、サイバーの攻撃者も、一般企業と同じような仕組みを構築して、ビジネスとしてサイバー攻撃を仕掛けてきている。 このビジネスとしてのサイバー攻撃の一端が垣間見えたのがContiと呼ばれるランサムウェアグループである。このContiにおいて、内部情報の漏洩があった。この内部情報を分析したところ、一般企業と同様の、組織的な活動をしている事が分かってきた。分析結果によると、Contiには、採用や育成を行う人材部門や、開発したランサムウェアを検査するテスター、一般に使用されているソフトウェアに弱点となる脆弱性がないか解析する技術者が所属している。また、勤務体系は週5日勤務で、24時間365日攻撃が仕掛けられるようにシフトが組まれている等、一般企業と変わらない体制が組まれている。 この様に攻撃者は、サイバー攻撃を組織的にビジネスとして仕掛けてくる相手であると認識することが重要な視点となる。 その他にも、フィッシングメールの配信基盤を提供しているPhishing as a Service(PhaaS)や、DoS攻撃(攻撃対象のサーバに対し大量の通信を行い、正常なサービス提供を妨げる攻撃)を行うサービスもある。 これらのサービスには、サブスクリプションの形態をとっているものもあり、あるDoS攻撃のサービスでは、月額2000円で利用可能というものがあった。 図3 RaaSのエコシステム 4.脆弱性マネジメントの重要性 4.1 「既知の脆弱性」を狙った攻撃 攻撃者が組織的に攻撃を仕掛けるようになり、攻撃そのものが容易になってきたことで、高度なスキルを必要とせずに攻撃を仕掛けられる状況が形成されている。この様な攻撃者の多くは既知の脆弱性を狙う攻撃を仕掛けてきている。 COVIT-19以降、リモートワークが大きく増えた。リモートワークを中心とした働き方をしている企業においては、VPN装置を設置し、インターネットから社内システムにアクセス可能な環境を構築している企業が少なくないが、このVPN装置において脆弱性が放置されたままの状態だと、まず間違いなく攻撃を仕掛けられると言える。 理由として、攻撃者は機械的にIPアドレスを探索し、脆弱性が放置されたままとなっている機器に対して、総当たりで攻撃を仕掛けてくる。 サイバー攻撃は1%ビジネスという事が言われる。これは、攻撃先のうち1%が身代金支払いに応じることで、十分に儲かる事を示している。そのため、特定の企業や施設を狙って、執拗に攻撃を仕掛けるケースもあるが、大半の攻撃は機械的に多くのIPアドレスを探索し、脆弱性のあるところを発見しては、攻撃を仕掛けるという手段を取っている。 この事から、脆弱性が残存していれば、確実に攻撃を仕掛けられると言えるため、自組織が管理する機器は、脆弱性対策を徹底しておくことが重要となる。 4.2 ランサムウェアの被害組織 ランサムウェアのリークサイトやフォーラムを観測したところ、特定の国や業種業態が狙われているという傾向は見て取れず、満遍なく攻撃を仕掛けられているという事が分かる。 攻撃者は攻撃が容易な組織を狙って、攻撃を仕掛けてきている。 4.3 公開された脆弱性の悪用 脆弱性は、我々が把握、対応できる様に、まとめて公開されている。そのため、我々と同様に攻撃者も、公開情報を参照し、攻撃を仕掛けてくる。[6] これまで、脆弱性を放置すると確実に攻撃をされると説明してきたが、裏を返すと、特殊な理由で特定の組織やシステムが狙われない限り、脆弱性の対応を徹底することで、攻撃の対象にならないと言える。 理由としては、他に攻撃可能なターゲットがあるにも関わらず、あえてセキュリティ対策が施されている組織を攻撃する理由がないからである。そのため、脆弱性管理がサイバー攻撃を防ぐ、非常に重要なポイントになってくる。 5 まとめ 最後に、組織のセキュリティとしてどの様にアプローチしていくべきかについて述べる。 サイバー空間上のセキュリティ脅威は、地政学的、もしくは経済安全保障の観点での脅威と、犯罪者によるツールや手段としての脅威に分化できる。 まず、地政学や経済安全保障観点での脅威への対策は、情報収集と共有のための体制づくりと運用がポイントになる。そして、セキュリティ・クリアランス等、人に注目したリスク管理が視点として必要になってくる。NECにおいても、2021年から経済安全保障統括室を立ち上げ、対応を開始している。 次に、犯罪者による脅威への対策は、脆弱性ハンドリングとサプライチェーンを含む包括的なリスクアセスメントがポイントになる。特にサプライチェーンという観点では、自らの組織だけでなく、グループ会社や取引先等の関連組織、特にネットワークが接続されている組織を含めて、脆弱性ハンドリングを行い、リスクの所在を明らかにしていくアプローチが必要になってくる。 以上、我々が今置かれているサイバー空間における攻撃の実態とその対策について述べた。本稿が皆様の活動の参考になれば幸いである。 図4 トレンドからみるセキュリティアプローチ 参考文献 [1]CYBER SECURITY REPORT 2021 https://www.checkpoint.com/pages/cyber-security-report-2021/ [2]Top 10 Cybersecurity Predictions And Statistics For 2023 https://cybersecurityventures.com/top-5-cybersecurity-facts-figures-predictions-and-statistics-for-2021-to-2025/ [3]2021年度版グローバルセキュリティ意識調査結果 https://www.crowdstrike.jp/press-releases/crowdstrike-2021-global-security-attitude-survey/ [4]Global Risks Report 2022 https://jp.weforum.org/reports/global-risks-report-2022/ [5]重要インフラのサイバーセキュリティに係る行動計画 https://www.nisc.go.jp/pdf/policy/infra/cip_policy_2022.pdf [6]脆弱性対策情報ポータルサイト https://jvn.jp/ (2023年8月21日)