「日本の重要インフラに影響を及ぼした」〜名古屋港へのランサムウェア攻撃をトレンドマイクロが解説

　トレンドマイクロ株式会社は、7月に発生した名古屋港統一コンテナターミナルシステム「NUTS」へのランサムウェア攻撃について、同社が運営するセキュリティ情報サイト「Secytiry GO」で記事を公開し、攻撃の特徴や対策を解説した。

　本件は7月4日に発生し、7月6日に復旧が確認されるまで、丸一日以上にわたって名古屋港の全コンテナターミナルが停止したもの。名古屋港運協会らは詳細な経緯の報告を7月26日に発表しており、トレンドマイクロが公開した内容は、これを受けて7月27日に更新されている。

日本の重要インフラに影響を及ぼした攻撃

　トレンドマイクロでは、本件を「日本の重要インフラに影響を及ぼした攻撃」と位置づけている。

　名古屋港の総取扱貨物量は日本一（令和3年港湾統計では1億7779万t）であり、港湾運送業を含む「物流」は、日本政府が定める重要インフラサービス14分野の1つである。名古屋港だけでなく、周辺の港湾事業者にも影響があった本件は、日本の重要インフラに影響を及ぼしたサイバー攻撃として重く見るべきだとしている。

ランサムウェア攻撃は増加傾向

　日本国内でのランサムウェア検出台数は増加傾向にあるという。2019年以降、メール経由の「ばらまき」型から、ネットワーク侵入を前提とした「Human-Operated」型（下図のように、複数のステップを踏んで攻撃を行う手法）に変化し、それ以降の検出台数では、2022年が最多となっている。

ランサムウェア攻撃のステップ例（トレンドマイクロ「Security GO」の記事より）

世界的に最も活発な攻撃グループ「LockBit」

　今回の攻撃は、ランサムウェア攻撃グループ「LockBit」によるものだとの報道が多くされている（名古屋港運局は、具体的な攻撃元には言及していない）。トレンドマイクロでは、2021年10月には徳島県つるぎ町立半田病院に対してもランサムウェア攻撃を行ったグループだとして、LockBitについて解説している。

　LockBitは2019年に初めて確認され、2020年初頭から、サービスとしてのランサムウェア（RaaS）をビジネスモデルとして採用してアフィリエイトの募集を開始、以来活発に活動しており、同社の調査によれば、ランサムウェアファミリー別に見た2022年の全世界のランサムウェア検出台数は、LockBitによるものが最も多い。

ランサムウェア検出台数別のトップ10の年間比較（トレンドマイクロ「Security GO」 の記事および「2022年年間サイバーセキュリティレポートより）

　なお、LockBitについては、トレンドマイクロが2023年2月に行った説明会のレポート「ランサムウェア攻撃の標的は中小企業にシフトする〜トレンドマイクロが予測する根拠とは？」も参照いただきたい。

　同社によれば、LockBitによる攻撃の被害は特定の業種に偏ることなく見られ、規模別では、500人以下の中小～中堅企業が多い。このようなことから同社では、LockBitは「金銭を支払いそうな組織かつ、外部から攻撃できる経路があり、攻撃をしやすい組織を攻撃していると言える」と分析している。

未然に防ぐことが難しいランサムウェアは、対応体制の構築が重要

　同社では、LockBitをはじめとしたランサムウェア攻撃はその高度さ・複雑さから、全てを未然に防ぐことが難しいとしている。それを踏まえて、総合的、多面的な対策の導入とともに、攻撃の兆候を検知し、迅速に対応できるインシデント対応体制の構築が非常に重要だとしている。

　具体的には、サーバーやネットワークの監視、システムの脆弱性管理のほか、「3-2-1ルール（3つのバックアップ用コピーを異なる2つのメディアに作成し、その1つは物理的に離れた場所に保存する）」に則ったバックアップの冗長性の担保、インシデント対応体制を構築、従業員に対するセキュリティ教育や注意喚起の実施だ。

　このほか、攻撃の痕跡を検知、可視化できるXDR（Extended Detection and Response）機能の導入も有効だとしている。