ニュース

ロシアのサイバー攻撃集団「Sandworm Team」が日本の物流企業を標的に、FireEyeが観測

 米FireEye最高経営責任者(CEO)のケビン・マンディア氏が、都内で行われたセキュリティカンファレンス「Cyber Defense LIVE Tokyo 2018」において、最近のインターネットセキュリティ動向に触れつつ、サイバー攻撃は「地政学的状況が反映されやすい特徴がある」と述べた。

 例えば、2015年9月に行われた米中首脳会談では、企業・団体の機密情報などを狙ったサイバー攻撃を行わないことで合意しているが、これ以降、米国の企業・団体を狙った中国からのサイバー攻撃が激減したという。具体的には、それまで月40件~80件だったのが、現在では月平均4件ほどにとどまっているという。

米FireEye最高経営責任者(CEO)のケビン・マンディア氏

 このほか、2016年の米大統領選挙では、ロシアによる諜報活動の一環として米政府へのサイバー攻撃を観測。また、2017年11月には北朝鮮による米国や中東諸国を狙ったゼロデイ攻撃も確認されている。従来は中国からのサイバー攻撃が最も多く、次いでロシア、それ以外の国が続いている状況だったが、2017年にはイランからの攻撃が多く観測されており、現在は世界で2番目の規模に拡大しているという。攻撃自体は2008年から観測され続けていたが、2016年以降に活動が活発化したそうだ。

日本の物流企業をターゲットにしたロシアからの攻撃も観測

 2018年5月初旬にはロシアのサイバー攻撃集団「Sandworm Team」と思われるグループから、国内の物流企業を標的にしたサイバー攻撃が観測されたという。これらは、標的とされた業種や、ステージングディレクトリ設定、利用されたVPSなど、侵害されたネットワーク上での活動に類似性が見られたとしている。

 これまで、同グループは主にウクライナを標的とした活動を展開しており、ウクライナにおける2015年と2016年の停電事件やEternalPetya攻撃などの複数の破壊的活動に関与したとみられている。2016年以降は活動地域を米国や欧州などにも広げている。

 今回、日本の企業が標的になったことに関して、ファイア・アイ株式会社最高技術責任者(CTO)の伊東寛氏は「極めて珍しい事例」としながらも、「日本はメインターゲットの一歩前になる中継点として攻撃されたのではないか」と推測する。

ファイア・アイ株式会社最高技術責任者(CTO)の伊東寛氏

まずは攻撃の対象になるものを把握するべき

 サイバー攻撃に備えて、企業・団体は優先して守るべきものを洗い出す必要があるとマンディア氏と伊東氏は指摘する。業界ごとにセキュリティ対策は異なるため、まずは攻撃の対象となるものを把握し、それに応じて予算を配分することが適切だとしている。

 なお、これまでにサイバー攻撃の被害に遭ったケースで主に見られたのは、1)スピアフィッシングや悪意のある攻撃を見逃していたこと、2)ずさんな認証情報管理、3)ネットワークがセグメント化されていない、4)VPNやOWAへのアクセス認証が1段階のみ、5)セキュリティ保護が管理者権限から守られていない、6)レスポンスに必要な重要データが集められていない――といった問題だった。

 マンディア氏はサイバー攻撃への対策として、日本であれば2020年のオリンピックなどに備えて、インシデント対応計画の予行演習を行うこと、フィッシング対策の強化、リモートアクセスにおける2要素認証の義務化、サーバーで実行するプログラムのホワイトリスト化、高度なマルウェアなどを防御する最新技術を活用することなどを挙げている。

対策方法