ニュース
トレンドマイクロ、2023年のサイバー脅威動向を分析。「日本の安全保障に影響」と、情報共有の枠組み作りを提言
2024年1月11日 15:16
トレンドマイクロは1月9日、2023年のサイバー脅威動向に関する説明をオンラインで行った。
同社のセキュリティエバンジェリストである岡本勝之氏は、「日本の安全保障に影響を及ぼすサイバー脅威が表面化した1年だった」と2023年を振り返りながら、次の3つのポイントから、日本におけるサイバー脅威の動向を分析した。
- サイバーサボタージュ:システム停止や設備の破壊など、直接的な実害を与えるサイバー攻撃。ランサムウェアにより行われる
- サイバーエスピオナージ:政府機関や企業の情報を盗み出す諜報活動目的のサイバー攻撃。標的型攻撃により行われる
- インフルエンスオペレーション:ターゲットとなった人の認知に影響を及ぼすサイバー攻撃。ディープフェイク/フェイクニュースにより行われる
ランサムウェアで平均10.5日の業務停止期間、平均被害額は1億7689万円
1つめの「サイバーサボタージュ」では、ランサムウェア攻撃を用いて、システム停止や設備の破壊など、直接的な実害を与えるサイバー攻撃が増加していることを指摘した。トレンドマイクロの調査によると、ランサムウェアの被害公表数は過去最大となり、日本においても、事業が停止してしまうような過去に例のない被害が、短期間のうちに発生するようになっているという。
2023年7月には、貨物の取扱量が全国一である名古屋港において、コンテナのターミナルシステムの全サーバーが暗号化され、丸1日間搬出入作業が停止する事案が発生。「2022年には、自動車部品メーカーや医療機関でのランサムウェア被害が発生したが、これらは社外からアクセスするためのネットワーク機器を経由した直接侵入や、信頼する他組織経由で侵入したものであった。だが、2023年は、クラウド上やデータセンター内のシステムでも深刻な被害が発生した。アタックサーフェス(攻撃対象領域)が継続して拡大していることを裏づけている」と、岡本氏は総括した。
同社の調査によると、ランサムウェアによる業務停止期間は平均10.5日となり、ランサムウェア被害経験企業の平均被害額は1億7689万円になっている。
「長期間にわたって業務が停止するケースが増えているほか、10億円以上の被害も出ている。攻撃方法は大きくは変化していないが、被害の影響は大規模化している」と分析した。
政府機関や経済安全保障上の機密情報を持つ企業への攻撃も増加
2つめの「サイバーエスピオナージ」では、政府機関や企業の情報を盗み出す諜報活動を行うサイバー攻撃が増加しているという。
岡本氏は「2022年には、Earth Yakoというグループと、LODEINFOと呼ぶマルウェアを主に使用するグループがあったが、2023年になり、グループの再編があり、サブグループが生まれたり、ターゲットも変化したりしている。グループが特定しにくくなっている」とし、「日本の学術機関への攻撃が継続しているほか、これと並行して別の組織への攻撃を展開している可能性がある。トレンドマイクロでも、2023年にVPN機器の脆弱性を悪用した侵入を行う標的型攻撃を確認しており、PCに感染させるのではなく、ネットホーク機器を対象にしたり、海外拠点を踏み台にして国内組織への攻撃をしたりといった事案が確認されている。とくに、半導体製造関連や素材関連といった経済安全保障上の機密情報を持つ企業を標的としていることがうかがえる」と述べた。
警察庁は、2023年9月に、中国を背景とするサイバー攻撃グループ「BlackTech」によるサイバー攻撃について注意喚起を行った。その中で、海外子会社を侵害の足掛かりにし、さらに、内部ルーターを侵害し、本社や他拠点に感染拡大させるといった動きが見られていると説明している。このような動向から、岡本氏は「攻撃者は、攻撃を巧妙化させながら標的を変化させている」と指摘した。
生成AIを悪用したインフルエンスオペレーションで、日本でも被害発生
3つめの「インフルエンスオペレーション」としては、フェイクニュースなどによって、サイバー空間上の影響力工作を行っている動きが増加していると述べた。
ここでは、ターゲットとする敵対国家に対して、フェイクニュースやディスインフォメーション(意図的に流布される虚偽の情報)と呼ばれる偽情報を拡散したり、機密情報をリークしたりするといった動きにより、混乱と不信感を増幅させて、個人や国家の意思決定に干渉することを狙っているという。
日本でも影響力工作による被害が発生しており、2023年11月には、岸田首相の偽動画が投稿され、その動画には、実際のニュース番組に似せたロゴや字幕なども表示されていた。
岡本氏は「日本ではいたずら目的の段階だが、意識せずに社会に影響を与える可能性がある」とする一方、「懸念されているのは、偽情報の拡散の手法として、生成AIを使用したディープフェイクなどが利用されている点である。3秒のサンプル音声があれば、サンプルの人物の声によって、自由に言葉をしゃべらせられるAI音声生成ソフトウェアが無償で公開されている。容易に、少ない学習データで、ディープフェイクの作成が可能になり、これが悪用されると、被害の対象範囲が増える」と、警鐘を鳴らした。
そのほか、アンダーグラウンドの掲示板では、動画上の顔をすげ替えるディープフェイクのスキルを有する専門家を探している求人投稿が増えている実態があるという。
さらに、トレンドマイクロでは、「Kopeechka」と呼ばれるソーシャルメディアアカウントを自動で作成するツールを発見しており、InstagramやTelegram、Facebook、Xのアカウントを大量に作成し、それらを通じて、偽情報を拡散する動きもあるとした。
日本を標的としたハクティビストの活動も確認
こうした3つの脅威を踏まえ、岡本氏は今後の動向について「世界情勢の不安定化が、日本のデジタル空間にも影響を及ぼしている。日本を標的とした攻撃も増えてくるだろう」と予測した。
イスラエル・パレスチナ情勢に関連したハクティビスト(政治的・社会的主張を目的とするサイバー攻撃者)が、日本を標的にしていることや、日本の通信会社や政府機関を標的にした攻撃を行うことを宣言するグループがあること、すでに日本のウェブサイトの改ざんを告知するグループがあることも確認しているという。
サイバー攻撃の全体像を把握するため、組織間の情報共有が重要に
安全保障に影響を及ぼすサイバー脅威への対策として、岡本氏は「サプライチェーンの弱点を突くケースが増えており、残念ながら、1つの企業だけで被害を回避することは難しい段階に入っている。業界や国の単位で、被害を回避し強靭性を実現する必要がある」とした。
また、1つの企業への攻撃の状況が明らかになっただけでは、攻撃の全体像が見えないという課題もある。例えば、トレンドマイクロが持つ情報だけでは、何を目的とした攻撃であり、どれぐらいの被害があり、どう対策すればいいのかという観点での情報が足りないという。「注意喚起を含めて適切な対応を行ったり、被害の拡大を防止したりといった観点からも、情報共有の重要性がますます高まっている」と、岡本氏は指摘する。
海外では、ロシアの侵攻を受けているウクライナにおいて、政府機関や企業がサイバー攻撃に気付いた際には、CERT-UA(Computer Emergency Response Team of Ukraine:ウクライナ コンピューター緊急対応チーム)に情報を共有し、それを迅速に分析し、適切な情報公開を行っている事例がある。これが、インテリジェンスサイクルのベストプラクティスになっているという。
一方では、情報共有の難しさもあるという。
「被害企業の目線で考えると、そもそも被害情報を共有するメリットが見出だせないという点がある。また、攻撃を受けた場合には、インシデント対応が第一優先となり情報共有は後回しになる傾向がある。さらに、どの情報を、どのように共有すればいいのか分からない、情報を公開した結果、糾弾される可能性が出てくるといった懸念もある」。このように岡本氏は問題を説明した上で、「情報を共有することによるメリットを明確化して、被害組織の安心感に繋がるようにしないといけない」と、提言を行った。
企業、政府のサイバーセキュリティ強化に向けた提案も
政府では、2023年3月に「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を発表。2023年11月には、「攻撃技術情報の取扱い・活用手引き(案)」を公表し、サイバー攻撃に関する情報共有を促している。
トレンドマイクロでは、サイバー安全保障の強靭化に向けた取り組みを提案。企業では、自社のセキュリティ対策を行うこと、サイバー攻撃被害の情報共有に対する経営層への理解促進と情報共有を見越したインシデント訓練の実施を行うことを提案する一方、政府に対しては、業界別やサプライチェーン別にセキュリティガイドラインを整備すること、全体最適だけではなく個別最適にもなるような情報共有の枠組みを検討することを提言している。
