ニュース

トレンドマイクロ、2023年のサイバー脅威動向を分析。「日本の安全保障に影響」と、情報共有の枠組み作りを提言

トレンドマイクロ セキュリティエバンジェリストの岡本勝之氏

 トレンドマイクロは1月9日、2023年のサイバー脅威動向に関する説明をオンラインで行った。

 同社のセキュリティエバンジェリストである岡本勝之氏は、「日本の安全保障に影響を及ぼすサイバー脅威が表面化した1年だった」と2023年を振り返りながら、次の3つのポイントから、日本におけるサイバー脅威の動向を分析した。

  • サイバーサボタージュ:システム停止や設備の破壊など、直接的な実害を与えるサイバー攻撃。ランサムウェアにより行われる
  • サイバーエスピオナージ:政府機関や企業の情報を盗み出す諜報活動目的のサイバー攻撃。標的型攻撃により行われる
  • インフルエンスオペレーション:ターゲットとなった人の認知に影響を及ぼすサイバー攻撃。ディープフェイク/フェイクニュースにより行われる
今回の説明における3つの重要キーワード

ランサムウェアで平均10.5日の業務停止期間、平均被害額は1億7689万円

 1つめの「サイバーサボタージュ」では、ランサムウェア攻撃を用いて、システム停止や設備の破壊など、直接的な実害を与えるサイバー攻撃が増加していることを指摘した。トレンドマイクロの調査によると、ランサムウェアの被害公表数は過去最大となり、日本においても、事業が停止してしまうような過去に例のない被害が、短期間のうちに発生するようになっているという。

2023年のランサムウェア被害公表数は過去最大の63件となった
近年の重要事例から、「過去に例のない被害が、短期間のうちに発生するようになっている」と説明

 2023年7月には、貨物の取扱量が全国一である名古屋港において、コンテナのターミナルシステムの全サーバーが暗号化され、丸1日間搬出入作業が停止する事案が発生。「2022年には、自動車部品メーカーや医療機関でのランサムウェア被害が発生したが、これらは社外からアクセスするためのネットワーク機器を経由した直接侵入や、信頼する他組織経由で侵入したものであった。だが、2023年は、クラウド上やデータセンター内のシステムでも深刻な被害が発生した。アタックサーフェス(攻撃対象領域)が継続して拡大していることを裏づけている」と、岡本氏は総括した。

2021年の事例においては社外からアクセスするためのネットワーク領域を経由した侵入が増加したが、2022年にはサプライチェーン攻撃が拡大、2023年にはクラウド上での被害が深刻化し、アタックサーフェスが継続して拡大しているとした

 同社の調査によると、ランサムウェアによる業務停止期間は平均10.5日となり、ランサムウェア被害経験企業の平均被害額は1億7689万円になっている。

 「長期間にわたって業務が停止するケースが増えているほか、10億円以上の被害も出ている。攻撃方法は大きくは変化していないが、被害の影響は大規模化している」と分析した。

過去3年間の事例の調査から、ランサムウェアによる業務停止期間は平均10.5日
同じく過去3年間の事例の調査から、ランサムウェア被害経験企業の平均被害額は1億7689万円

政府機関や経済安全保障上の機密情報を持つ企業への攻撃も増加

 2つめの「サイバーエスピオナージ」では、政府機関や企業の情報を盗み出す諜報活動を行うサイバー攻撃が増加しているという。

 岡本氏は「2022年には、Earth Yakoというグループと、LODEINFOと呼ぶマルウェアを主に使用するグループがあったが、2023年になり、グループの再編があり、サブグループが生まれたり、ターゲットも変化したりしている。グループが特定しにくくなっている」とし、「日本の学術機関への攻撃が継続しているほか、これと並行して別の組織への攻撃を展開している可能性がある。トレンドマイクロでも、2023年にVPN機器の脆弱性を悪用した侵入を行う標的型攻撃を確認しており、PCに感染させるのではなく、ネットホーク機器を対象にしたり、海外拠点を踏み台にして国内組織への攻撃をしたりといった事案が確認されている。とくに、半導体製造関連や素材関連といった経済安全保障上の機密情報を持つ企業を標的としていることがうかがえる」と述べた。

日本で観測されている、サイバーエスピオナージを行う標的型攻撃グループと活動期間

 警察庁は、2023年9月に、中国を背景とするサイバー攻撃グループ「BlackTech」によるサイバー攻撃について注意喚起を行った。その中で、海外子会社を侵害の足掛かりにし、さらに、内部ルーターを侵害し、本社や他拠点に感染拡大させるといった動きが見られていると説明している。このような動向から、岡本氏は「攻撃者は、攻撃を巧妙化させながら標的を変化させている」と指摘した。

警察庁が注意喚起を行った、BlackTechによる海外子会社を標的とした侵入手法

生成AIを悪用したインフルエンスオペレーションで、日本でも被害発生

 3つめの「インフルエンスオペレーション」としては、フェイクニュースなどによって、サイバー空間上の影響力工作を行っている動きが増加していると述べた。

 ここでは、ターゲットとする敵対国家に対して、フェイクニュースやディスインフォメーション(意図的に流布される虚偽の情報)と呼ばれる偽情報を拡散したり、機密情報をリークしたりするといった動きにより、混乱と不信感を増幅させて、個人や国家の意思決定に干渉することを狙っているという。

 日本でも影響力工作による被害が発生しており、2023年11月には、岸田首相の偽動画が投稿され、その動画には、実際のニュース番組に似せたロゴや字幕なども表示されていた。

 岡本氏は「日本ではいたずら目的の段階だが、意識せずに社会に影響を与える可能性がある」とする一方、「懸念されているのは、偽情報の拡散の手法として、生成AIを使用したディープフェイクなどが利用されている点である。3秒のサンプル音声があれば、サンプルの人物の声によって、自由に言葉をしゃべらせられるAI音声生成ソフトウェアが無償で公開されている。容易に、少ない学習データで、ディープフェイクの作成が可能になり、これが悪用されると、被害の対象範囲が増える」と、警鐘を鳴らした。

近年、社会的に注目を集めたディープフェイクの事例
トレンドマイクロによるディープフェイク音声の例。短い岡本氏の音声をもとに、同一人物の声と認識できる、別のことをしゃべらせた音声ができあがる

 そのほか、アンダーグラウンドの掲示板では、動画上の顔をすげ替えるディープフェイクのスキルを有する専門家を探している求人投稿が増えている実態があるという。

 さらに、トレンドマイクロでは、「Kopeechka」と呼ばれるソーシャルメディアアカウントを自動で作成するツールを発見しており、InstagramやTelegram、Facebook、Xのアカウントを大量に作成し、それらを通じて、偽情報を拡散する動きもあるとした。

日本を標的としたハクティビストの活動も確認

 こうした3つの脅威を踏まえ、岡本氏は今後の動向について「世界情勢の不安定化が、日本のデジタル空間にも影響を及ぼしている。日本を標的とした攻撃も増えてくるだろう」と予測した。

 イスラエル・パレスチナ情勢に関連したハクティビスト(政治的・社会的主張を目的とするサイバー攻撃者)が、日本を標的にしていることや、日本の通信会社や政府機関を標的にした攻撃を行うことを宣言するグループがあること、すでに日本のウェブサイトの改ざんを告知するグループがあることも確認しているという。

イスラエル・パレスチナ情勢に関連したハクティビストによる日本を標的にしたサイバー攻撃の事例

サイバー攻撃の全体像を把握するため、組織間の情報共有が重要に

 安全保障に影響を及ぼすサイバー脅威への対策として、岡本氏は「サプライチェーンの弱点を突くケースが増えており、残念ながら、1つの企業だけで被害を回避することは難しい段階に入っている。業界や国の単位で、被害を回避し強靭性を実現する必要がある」とした。

 また、1つの企業への攻撃の状況が明らかになっただけでは、攻撃の全体像が見えないという課題もある。例えば、トレンドマイクロが持つ情報だけでは、何を目的とした攻撃であり、どれぐらいの被害があり、どう対策すればいいのかという観点での情報が足りないという。「注意喚起を含めて適切な対応を行ったり、被害の拡大を防止したりといった観点からも、情報共有の重要性がますます高まっている」と、岡本氏は指摘する。

サプライチェーンの弱点を突いた攻撃では、1組織だけが対策をしても全てのリスクを回避することは難しい
組織を超えた情報共有の重要性が高まっている

 海外では、ロシアの侵攻を受けているウクライナにおいて、政府機関や企業がサイバー攻撃に気付いた際には、CERT-UA(Computer Emergency Response Team of Ukraine:ウクライナ コンピューター緊急対応チーム)に情報を共有し、それを迅速に分析し、適切な情報公開を行っている事例がある。これが、インテリジェンスサイクルのベストプラクティスになっているという。

 一方では、情報共有の難しさもあるという。

 「被害企業の目線で考えると、そもそも被害情報を共有するメリットが見出だせないという点がある。また、攻撃を受けた場合には、インシデント対応が第一優先となり情報共有は後回しになる傾向がある。さらに、どの情報を、どのように共有すればいいのか分からない、情報を公開した結果、糾弾される可能性が出てくるといった懸念もある」。このように岡本氏は問題を説明した上で、「情報を共有することによるメリットを明確化して、被害組織の安心感に繋がるようにしないといけない」と、提言を行った。

被害企業の視点からは、サイバー攻撃による被害情報を共有することに複数の難しい点があり、情報を共有することのメリットを明確化する必要がある

企業、政府のサイバーセキュリティ強化に向けた提案も

 政府では、2023年3月に「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を発表。2023年11月には、「攻撃技術情報の取扱い・活用手引き(案)」を公表し、サイバー攻撃に関する情報共有を促している。

 トレンドマイクロでは、サイバー安全保障の強靭化に向けた取り組みを提案。企業では、自社のセキュリティ対策を行うこと、サイバー攻撃被害の情報共有に対する経営層への理解促進と情報共有を見越したインシデント訓練の実施を行うことを提案する一方、政府に対しては、業界別やサプライチェーン別にセキュリティガイドラインを整備すること、全体最適だけではなく個別最適にもなるような情報共有の枠組みを検討することを提言している。

トレンドマイクロから企業と政府に向けた提言