ニュース
トレンドマイクロ、2024年のサイバーリスク動向を分析。「リスクの放置や無自覚が、組織のインシデントに直結した1年」
2025年1月9日 14:15
トレンドマイクロは、1月8日、2024年のサイバーリスク動向に関する説明を行った。
同社セキュリティエバンジェリストの岡本勝之氏は、「サイバーリスクの放置や無自覚が、組織のインシデントに直結した1年だった」と厳しく総括。ランサムウェアによる被害数が過去最大になったこと、脆弱性対応が軽視され、特権管理が落とし穴になっていること、委託先からのデータ漏洩が増加したり、ランサムウェア被害が深刻化したりといった動きが顕在化していることを指摘した。
「セキュリティに割ける人材が足りないなかで、受動的な動きを減らすことが重要である。守るべき資産はなにか、そこにどんな弱みがあるのかを把握し、能動的に対応していかなくてはならない」と警鐘を鳴らした。
国内の被害公表数は過去最大を更新、ランサムウェアはリブランドを繰り返し新旧交代
トレンドマイクロが、公表情報をもとにまとめたところ、国内における2024年(12月15日時点)のランサムウェアの被害公表数は84件となり、2023年の69件を上回り、過去最大を更新した。
「ランサムウェアに対する国内外の法執行機関の動きが活発になり、テイクダウンさせたり、首謀者を逮捕したりといった成果があがっている。だが、ランサムウェアの増加の勢いは止まらないのが実態である。ランサムウェアはリブランドを繰り返し、レジリエンスが高い。目先を変えて攻撃を続けている」という。
日本でも被害が発生したBlackSuitは、2020年頃にContiとして登場したあとに、2022年以降はRoyalにリブランド。さらに、2023年に入ると現在のBlackSuitとなり、2024年11月末時点で、少なくとも161の組織を攻撃しているという。
また、2024年下期には新興ランサムウェアが急拡大し、主流となっていたLockBitが2024年6月から減少。代わって、RansomHubの構成比が増加し、新旧交代ともいえる様相を呈したという。「2022年以前から活動しているグループは1割程度になっている。リブランドの繰り返しが影響している」と分析した。
トレンドマイクロでは、2024年に、日本の組織を攻撃し、被害を及ぼした新興ランサムウェアとして、8baseやHunters International、BlackSuit、Underground、RansomHubをあげている。
日本企業の脆弱性対応の軽視と、特権管理の落とし穴を指摘
日本の企業の課題として、脆弱性への対応が軽視されている点を、岡本氏は指摘した。
「脅威が侵入する際には、相変わらずVPNの脆弱性や、内部の脆弱性が問題となっている」と前置きし、「トレンドマイクロの調査では、脆弱性が発見され、パッチが配布後、適用されるまでの期間が、日本の企業および団体では36.4日となり、1カ月以上を要していることがわかった。世界のなかでも、日本での適用は遅く、全体平均の約1.2倍となっている。欧州に比べると10日間もの差がある。日本では脆弱性を放置している期間が長いとも言え、それにより、被害を受けるケースが多い。なかでも、2024年はECサイトで、脆弱性を突いた情報漏洩が続出している」と指摘した。
しかも、これら情報が漏洩したECサイトを分析すると、決済情報窃取の被害期間は約2年9カ月と長期であり、その間、情報が漏洩し続けていたことになるという。また、自社で被害に気がついた割合は30件中、わずか1件に留まっており、多くはクレジット会社や警察からの指摘によって発覚している。ここからも脆弱性対応が軽視されていることが浮き彫りになる。
つまり、多くのECサイトにおいて、攻撃が行われたのは2024年よりも前である。岡本氏は、2019年の攻撃の影響が顕在したものと指摘する。「2019年頃に、Water Pamola(ウォーターパモラ)というサイバー攻撃キャンペーンが確認されていたが、その当時の不正プログラムが設置されたままの状態になっているケースが複数確認できた。被害期間が長期になっているのは、対策が取られず、不正スクリプトが実行される状態が放置されたままになっていたためである。蓄積されたクレジットカード情報が盗まれるのではなく、利用者が決済情報を入力した時点で、決済会社に送信されるのと同時に、サイバー犯罪者にもリアルタイムで情報が送られてしまう仕組みである。当時は、脆弱性の告知は積極的に行われていたが、自分たちには関係がないと思っていたECサイトでの被害が、2024年になって顕在化してきたといえる」。
日本企業の課題として、トレンドマイクロがもう1つ指摘したのが、特権管理の落とし穴である。
ネットワークに侵入した脅威は、ドメインの管理者権限を狙っており、特権が適切に管理されていなかったり、脆弱な状況になっていたりすると、攻撃者に簡単に権限を奪取され、そこから情報が漏洩することになる。なかには、侵入後2時間もかからずに、一般従業員のアカウントがドメイン管理者へと昇格し、権限奪取に成功した事例もあるという。
「Windowsの仕様上、ログインしているアカウントの認証情報は、端末のメモリ上に一時的にキャッシュされる。これが、認証情報を取得する際の標的となり、Mimikatzをはじめとするさまざまなツールや手法で取得される可能性がある。ドメイン管理者は、特権アカウントの運用に留意し、日常的には活用せず、使用を制限することが大切である」と提案した。
サプライチェーン攻撃により被害が深刻化、委託先のデータ管理体制も見直しを
ランサムウェアによる被害が増大し、深刻化していることも見逃せないという。
トレンドマイクロによると、過去3年間の累計被害額は平均で2億2000万円となっており、2024年にランサムウェアの被害を受けたイズミでは約10億円、KADOKAWAでは約23億円を、特別損失に計上している。
また、サプライチェーンが複雑化するなかで、情報を持つ業種や企業を狙った被害も増加しているという。イセトーは、ランサムウェアに感染した結果、委託元である地方自治体や銀行など、50以上の組織から委託していた約150万件の個人情報が漏洩したという。「契約が終了したあとも、データを削除せずに残っていたことで、被害が拡大したことも問題となった」とし、「2024年下期から、委託元が被害を受けるといったケースが増えている。それに伴い、情報漏洩件数も増加している。委託先のサイバーリスクにも目を向けるべきときが来ている。もはや、委託先に渡した情報は、ある程度の流出を前提にしなくてはならない時代に入ってきたのかもしれない」と警告した。
2024年下期は、情報委託先がサイバー攻撃を受けたという委託元の数は176社であり、情報漏洩件数は340万0693件。2023年下期の58社、61万8173件に比べて、社数で3倍以上、漏洩件数で5倍以上になっている。
まずはASRMによる自社のリスク可視化を、委託先とはセキュリティを前提とした契約を
対策として、まずは自社のサイバーリスクの可視化が必要であるという。岡本氏は「脅威、脆弱性、資産という3つの観点から対策をする必要がある。まずは、ASRM(アタックサーフェスリスクマネジメント)により、サイバーリスクを可視化することが最初の一歩になる」として、トレンドマイクロのASRMであるTrend Vision Oneを通じてリスク指標を可視化すると、ランサムウェアに感染している組織は、平均よりもリスク指標が高い結果が出ているとし、リスク指標をもとにして対策を行うことが重要であると説明した。
続けて、委託先に対しても自社と同等水準のデータ管理体制を求めることが必要であるとする。「それが達成できないのであれば、データを委託すべきではない。セキュリティを前提とした契約(Security by Contract)を行い、契約の遵守状況も、その都度、確認し、それができていないのであれば契約の見直しを行うべきである」と提案した。
その上で、「日本の企業や団体は、ランサムウェアの脅威が高まっているにも関わらず、脆弱性や特権管理不備の対応を怠り、その結果、サプライチェーン全体に広がる被害が発生し、被害数が過去最大になっているといえる。脅威はビジネス上のリスクになっている。セキュリティ対策はセキュリティ部門だけでは実現できない。組織全体の文化や意識の醸成も対策の必要条件になっている」と提言した。
