日本への標的型サイバー攻撃はずっと継続している、企業の4社に1社はすでに侵入されているが表面化していないだけ

　昨年6月、日本年金機構の情報漏えい事故が発覚したのを契機に、標的型サイバー攻撃による企業・組織の情報漏えい被害が多数明るみに出たが、そうした攻撃はそれ以前・以後も継続して行われており、企業のおよそ4社に1社がすでに侵入されている計算になるという。トレンドマイクロ株式会社が2月末にまとめたレポート「2015年年間セキュリティラウンドアップ」で指摘している。

「2015年年間セキュリティラウンドアップ」について解説したトレンドマイクロ株式会社セキュリティエバンジェリストの岡本勝之氏

　同レポートによれば、2015年に公表・報道された標的型サイバー攻撃による情報漏えい被害事例は23件。2014年は同様の事例が5件だけだったのが、4.6倍に増加した。公表されているだけでも合計110万件近い情報が2015年に漏えいしている。

　それらの事例の発覚・公表日を見ると、1月に2件あった以降はしばらく事例がなく、多くが6月と7月に集中。その後は8月にも2件あるが、9月以降は1件もリストアップされていない。そのため、日本への標的型サイバー攻撃は一時的な流行だったかのように見えるかもしれないが、決してそうではないという。「日本年金機構の事例発覚を発端に、より厳しい監視や調査が行われた結果、これまで気付けていなかった攻撃がこの期間に表面化しただけ、と言える」（トレンドマイクロ）。

　実際、標的型サイバー攻撃特有の通信は、日本年金機構への攻撃が発覚する以前から観測されているほか、昨秋以降も続いているとのデータがあるという。

　標的型サイバー攻撃ではまず、外部からの遠隔操作を実現するためのRAT（遠隔操作ツール）を標的企業・組織内に侵入させるが、トレンドマイクロのネットワーク監視製品で検知されたRATによる不審な通信の件数は、2015年1月に月間40万件を超える規模で観測されていた。これが徐々に減少し、5～9月には月間15万件前後を推移。その後、10月から増加に転じ、12月には月間40万件弱の規模に戻っている。「日本に対する標的型サイバー攻撃はずっと継続して行われている。情報漏えい被害が発覚したのは氷山の一角。侵入されても気付いていないところもある」（トレンドマイクロ）。

　リストアップされた23件の事例を見ても、発覚原因が「外部からの指摘」によるものが20件を占めており、「自社では気付けない」という標的型サイバー攻撃の特徴が現れている。

　また、トレンドマイクロが2014年と2015年に監視サービスを行った国内の事例からそれぞれ無作為に100事例ずつ抽出して調査したところ、RAT特有の不審な通信が確認された事例が2014年で26％、2015年で24％あった。

　さらに、2015年1～7月にトレンドマイクロに標的型攻撃対策で調査依頼のあった事例のうち、侵入の最初の痕跡が確認できたケースについて集計したところ、侵入された企業がそれに気付いたのは、最初の侵入から平均156日（約5カ月）経過した後であることが分かった。最長では400日という事例もあったという。

　なお、侵入経路としては、23件のうち15件が「標的型メール」、3件が「水飲み場型」、残り5件が不明。水飲み場型は、標的企業・組織の従業員・職員が利用するウェブサイトにマルウェアを仕込んでおいて待ち伏せする手法だが、メールからそのサイトへ誘導している事例もあったとしている。

　これらの調査結果からトレンドマイクロでは、日本における標的型サイバー攻撃の被害の実態について、以下のようにまとめている。

1. 被害に遭っていないと考えている企業であっても4社に1社はすでに標的型サイバー攻撃の侵入を受けている。
2. 平均的な事例では最初の侵入から5カ月以上経過後に外部から指摘されて侵入が発覚し対応を開始する。最悪の場合はそのまま気付かずに情報を奪われ発覚もしない。