大阪・関西万博前後はサイバー攻撃が増加、特に関西の中小企業が狙われる可能性

神戸大学名誉教授の森井昌克氏（左）と、キヤノンITソリューションズ サイバーセキュリティラボ マルウェアアナリストの池上雅人氏

　キヤノンITソリューションズは、2025年のセキュリティ脅威動向を予測。2025年4月13日から開幕する「EXPO 2025大阪・関西万博」によって、国内におけるセキュリティ被害が増加する可能性を指摘した。

「KANSAI」や「OSAKA」と付く企業が標的にされる可能性

　サイバーセキュリティの専門家である神戸大学の森井昌克名誉教授は、「万博そのものへの攻撃も懸念されるが、特に、関西の中小企業へのサイバー攻撃が懸念される。なかでも『KANSAI』や『OSAKA』といった名称が付いた企業は、海外からの標的になりやすいため、注意すべきだ」と指摘したほか、「国内には多くのIoT機器が使われているが、これらも、情報漏えいやシステム障害、DDoS攻撃の踏み台として狙われやすい」と注意を促した。

神戸大学名誉教授の森井昌克氏

　また、キヤノンITソリューションズの池上雅人氏（サイバーセキュリティラボ マルウェアアナリスト）は、「万博のような大型イベントが開催される際には、チケット詐欺などの犯罪のほか、サイバー攻撃も増える傾向にある」と指摘した。2024年8月に、中央ヨーロッパの外交機関に対して、機密情報の漏えいを狙ったフィッシング攻撃が発生した。このメールの本文と添付ファイルには、日本の万博に関する記述があり、万博関連の企業や組織に対して、事務局を装ったようなフィッシング詐欺が発生する懸念があるという。

キヤノンITソリューションズ サイバーセキュリティラボ マルウェアアナリストの池上雅人氏

　森井名誉教授によると、大阪・関西万博公式サイトのドメイン（https://www.expo2025.or.jp/）に類似したドメインの取得が確認されており、それを売買する動きもあるという。類似したドメインを使用した偽サイトに誘導して、そこから個人情報を窃取する狙いがあるようだ。

　「すでに、いくつかのフィッシングサイトが確認されている。また、『expo2025.co.jp』のドメインが2440円で販売されていたり、『expo2O25.inc』が4万円以上で販売されていたりする。これらが悪意を持って取得されればフィッシング詐欺に使用される可能性もある。入場券の購入の際や、公式グッズの購入の際なども、フィッシングサイトでないことに十分注意する必要がある」と警告した。

大阪・関西万博公式サイトと似たドメインを取得する動きがあることを指摘し、偽サイトによる犯罪を警告

　先に触れた中央ヨーロッパの外交機関に対するフィッシング攻撃では、初期の侵入として、大阪・関西万博に関連する内容のメールを送付。やりとりを行うと、返信の2通目から、不審ファイルを含むファイル共有サービスのリンクが送付され、ダウンロードしたZIPファイルを解凍するとLNKファイルが含まれており、それを展開すると複数のファイルが実行・展開。マルウェアのひとつである「ANEL」が実行され、情報を窃取されることにつながるという。

　「東京オリンピックへのサイバー攻撃に比べると、大阪・関西万博へのサイバー攻撃の数は少ないかもしれないが、国際イベントに対する攻撃という観点では同じ影響力があり、事案が発生する可能性がある。注意すべきだ」とした。

　また、森井名誉教授は、大阪・関西万博で使用する万博IDについても触れ、「大阪・関西万博では、入場するために、それぞれが万博IDを取得する必要があり、その際に、2025年日本国際博覧会協会が個人情報を取得することに同意する必要がある。だが、第三者利用に関して曖昧な表現があったり、同意プロセスが不明確であったりといった問題もある」とも指摘した。

　さらに、森井名誉教授は、大阪・関西万博の入場ゲートに対する攻撃も懸念する。たとえば、関係者の入場管理には、QRコード付きの関係者入場証と、顔認証を併用したシステムを導入するが、ネットワークに対する攻撃やQRコードの脆弱性を突いた攻撃により、入場管理システムが影響を受ける可能性もあるとしている。

「参議院選挙」「Windows 10のサポート終了」のタイミングにも注意が必要

　さらに、キヤノンITソリューションズでは、2025年のセキュリティ脅威の動きとして、大阪・関西万博以外にも気を付けるべきタイミングがあると予測した。

　1つは、7月までに参議院選挙が行われ、それに伴うサイバー攻撃が懸念されること、もう1つは10月に迎えるWindows 10のサポート終了により、それ以降、セキュリティ修正プログラムやテクニカルサポートが提供されなくなることだ。

　キヤノンITソリューションズの池上氏は、「2024年の衆議院選公示日には、自民党のウェブサイトが5時間以上にわたって閲覧不能になり、海外からのサイバー攻撃の可能性が指摘された。今回も、ウェブサイトへのDDoS攻撃や、ウェブサイトの改ざん、SNSアカウントの乗っ取りなどが予想される。また、2022年には、Windows 11の偽インストーラー配布サイトが確認され、中身はVidarと呼ばれる情報窃取マルウェアであったという事例もある。ユーザーの不安を煽り、サポート詐欺を行ったり、偽インストーラーによってマルウェアが配布されたりといったことが起こりうる」と、過去の事例を挙げて警鐘を鳴らした。

2025年に予定されているイベントでは、大阪・関西万博のほか、参議院選挙やWindows 10のサポート終了においても、サイバー攻撃の増加やセキュリティへの影響が予測される

2024年の衆議院選挙では、自民党のウェブサイトが5時間以上閲覧不能になった。今後も選挙に乗じたウェブサイトへのDDoS攻撃、改ざん、SNSのアカウントの乗っ取りといった攻撃が予想される

2022年には、Windows 11の偽インストーラー配布サイトが確認された。今後も、OSのサポート終了などに乗じて、サポート詐欺などによる偽インストーラー配布が予想される

「誰もがサイバー攻撃をする可能性」、ランサムウェアの実態を知って対策を

　このほか、昨今のサイバー攻撃、特にランサムウェア攻撃に関する説明が行われた。その中から、4点のトピックを紹介する。

　1点目は、「誰もがサイバー攻撃を行う時代が到来している」ということだ。

　2024年11月に、中国籍の夫婦が逮捕された京都の事件では、1回1万5000円で、攻撃代行業者にDDoS攻撃を依頼。スポーツジムの検索サイトを閲覧できなくしたという。

　森井名誉教授は、「知識を持たない個人でも、容易にサイバー攻撃が可能な世界が訪れている。ランサムウェアについても同様に一般の人が簡単に入手できるプラットフォームが作られており、犯罪者はシステムのアフィリエイト（提携者）となって、貸し出しを受けている」としたほか、「音声を使用したボイスフィッシングでは、銀行員になりすましてメールアドレスを聞き出し、フィッシングサイトに誘導し、送金を指示するといったことや、電話番号を偽装する電話番号スプーフィングによる詐欺の手口も広がっている。残念ながら、当面、AIは悪の肩腕になる」と述べた。

森井名誉教授は「誰もがサイバー攻撃を行える時代」であるとして、サイバー攻撃を行うことの「簡単さ」を強調した。RaaSについては後述

　2点目に、「ランサムウェアが正しく理解されていないこと」の指摘がされた。

　「ランサムウェアは、データを暗号化したり、情報を漏えいしたりするだけでない。システムに侵入したランサムウェアは、気がつかないうちに、情報を分析し、情報が窃取されるだけでなく、システム内でマルウェアのアップデートを繰り返し、マルウェア対策アプリを無効化したり、ログを消去したり、システムを踏み台にされてほかのサーバーを攻撃したり、といったことを行う。そして、最後にデータの暗号化や情報の漏えいによって、身代金を得ることになる」とし、システム内でさまざまな損害を及ぼしていることを示した。

　関連して、2024年5月に発生した岡山県精神科医療センターでの情報漏えいは、発生の1年前から原因不明の障害が発生しており、その時点から侵害を受けていた可能性があると述べた。

ランサムウェアはデータを暗号化するだけではなく、システム内にさまざまな損害を及ぼす（森井名誉教授）

　3点目として、「ランサムウェアの実態」に関する説明がされた。これは1点目と関連するが、現在のランサムウェア攻撃は、国際的犯罪グループがサービスとして提供するランサムウェアプラットフォーム（RaaS）によるもので、プラットフォームがアフィリエイトとして犯罪者にシステムを提供している。全世界で240～250の組織が出現しており、現在はその中でも、40グループほどが頻繁に活動を行っているという。

　また、日本でのランサムウェアの被害は世界的に見ても中位にあり、被害の水準は、メキシコやスペインなどと変わらないという。

　警察庁の調べによると、国内におけるランサムウェアによる被害数は減少傾向にあり、2024年は244件となっているが、「実際にはもっと多く、その100倍ぐらいはあるだろう。中小企業は届け出をしなかったり、被害を受けても分からなかったりといった実態がある」と語った。

　また、「VPNが突破されることが、ランサムウェアの被害の原因ではない。VPNやRDPといった境界防御は、いわば門番であり、門番が侵入者を必ず防げるとは限らない。むしろ突破されることを想定した対策を行うべきである」と提案した。

現在頻繁に活動しているランサムウェア攻撃グループは40ほど

警察庁が発表した2024年のランサムウェア被害は244件だが、実際にはもっと多いと森井名誉教授は指摘する

　4点目として、森田名誉教授は「企業が受けたランサムウェア被害の公表の重要性」について触れた。

　東京都内のIT関連企業では、ランサムウェアの被害により、150GBのデータが漏えいしたが、2月17日に被害が発生しているにも関わらず、公表したのが2月27日であること、情報が漏えいした事実があるにも関わらず、「おそれ」があると表記した点などに問題があるとした。

　また、2月4日にランサムウェアに感染した別の企業では、2月6日時点でリークサイトにおいて、情報が漏えいしたことが明らかにされ、取締役の身分証明書が漏えいしていることが確認されたにも関わらず、現時点でも被害にあったことは公表していないという。

　さらに、自動車部品関係会社では、2月17日にシステム障害が発生し、それにより部品の納期が未定になったことは公表したものの、これがランサムウェアの被害によるものとは公表せず、3月1日には、システムが復旧し、部品出荷を再開したことを告知したに過ぎなかったという。

　森井名誉教授は、「重要なのは、ランサムウェアの被害後の対応であり、復旧対策や対外公表については、被害を想定した上での事前の準備が必要である」と語った。

ランサムウェア被害発生後の対応、復旧対策や対外公表では被害を想定したうえでの事前の準備が必要（森井名誉教授）

　キヤノンITソリューションズでは、ランサムウェア対策として、クラウドリスクアセスメントを通じて、攻撃者視点でシステムの脆弱性を診断、評価するサービスを提供しており、CNAPPサービスやASMサービス、ペネトレーションテストなどのメニューを用意している。また、2025年2月から、Mammoth Cyber Enterprise Browserの提供を開始。ウェブブラウザーによるアクセス制御や、監視の一元管理が行えるほか、リモートアクセスについては、VPNなしでのプライベートネットワークとの安全な通信を実現できるとした。