「サイバー空間での日本」はハイリスクな場所―セキュアワークスが提言する「セキュリティ・アンラーニング」とは 

INTERNET Watch

 セキュアワークス株式会社は、サイバー脅威レポート「State of the Threat 2022日本語版」を発表し、説明会を実施した。

 同レポートは、セキュアワークスの監視サービスである「Taegisプラットフォーム」で収集したデータや、同社のCounter Threat Unitリサーチチームによる脅威リサーチデータ、1400件以上のインシデント対応、コンサルティング案件などの情報をもとにまとめたもので、2021年6月~2022年6月までを対象にしている。

攻撃者同士が連携するなどした「コスパ重視」のサイバー犯罪が目立つ

 同社カウンター・スレット・ユニットの中津留勇氏(シニアセキュリティリサーチャー)は、「2022年はコスパ重視のサイバー犯罪が目立った」と前置きし、「サイバー犯罪を行うエコシステムが、攻撃者にとって最適化している」とした。

 ランサムウェアを例に挙げると、ランサムウェア運営組織が存在し、加盟メンバーはウェブサイトを通じてツールを入手して、攻撃を行い、脅迫や交渉を行う交渉人が別に存在するなど、お互いの得意な部分を生かしながら、作業を分担する分業化が進んでいるという。また、アンダーグラウンドフォーラムで侵入方法に関する情報を購入するといった動きもあり、攻撃者同士が、コストパフォーマンスが高いエコシステムを構築していると指摘した。

セキュアワークス カウンター・スレット・ユニット シニアセキュリティリサーチャーの中津留勇氏

脆弱性を利用した侵入は「複数の組織に流用できて高コスパ」

 同氏は、インターネット接続されたデバイスの脆弱性を悪用したサイバー犯罪が、最も多い侵入手法になったことを紹介。「2021年までは認証情報による攻撃が最も多かったが、これはひとつの組織にだけ有効な方法である。だが、インターネットに接続されたデバイスの脆弱性は複数の組織に流用できる。ここでもコストパフォーマンスが高い手法が選ばれている」と説明した。

四半期ごとのサイバー犯罪の侵入手段の内訳。2021年Q1から、デバイスの脆弱性を利用したものが増えている

 日本では、海外拠点やグループ会社にある管理しきれていないデバイスの脆弱性を突いて本社のシステムに入り、ランサムウェアが全社的に拡散されてしまうという事例が多いという。

 一方で、ランサムウェアについては新たなものが次々と開発されているが、それ以外のサイバー攻撃では、従来からの攻撃ツールを使用しているケースが多く、特別な学習や開発コストをかけずにサイバー攻撃を成功させているとした。

攻撃ツールは従来のものが使用されており、開発のためのコストをかけずにサイバー攻撃が成功し続けていることが伺える

 「なかには、ペネトレーションテスト向けやポートスキャナーなどのセキュリティ管理向け商用ツールを利用して、低コストで攻撃している例もある。コストをかけないサイバー攻撃に対しても有効な手段が取られていないのが、日本の企業の実態である」と、中津留氏は現状に警鐘を鳴らした。

人間のミスを誘発して多要素認証を突破する「MFA疲労攻撃」などの手口

 セキュリティ対策として多要素認証が注目を集めているが、フィッシングサイトに入力された情報を、リアルタイムに攻撃者が正規サイトに入力する「Adversary in the middle」や、認証情報を取得した攻撃者が、MFA(多要素認証)の承認要求を何度も送り、誤って承認するのを待つ「MFA疲労」と呼ばれる攻撃によって、MFAを乗り越える手法が広がっているという。

グラフは、セキュアワークスが推奨している対策のうち提案したケースの数を表す。MFAを提案するケースは2番目に多くなっている(つまり、未導入の企業が多い)が、未導入の場合はそのまま突破されてしまう。導入済みでも、Adversary in the middleやMFA疲労といった攻撃で突破される例がある

 たとえば、MFA疲労攻撃では、被害者のアカウント情報を入手した攻撃者がGoogleの2段階認証プロセスの承認要求を何度も発生させ、被害者に2段階認証の承認をさせてしまうことで、2段階認証を突破する、という手口があるという。

 中津留氏は、「MFA疲労攻撃を、日本の企業において疑似的に実施したことがあったが、認証させることに成功した。多要素認証は導入するだけでなく、誤承認を防ぐための設定を行う必要がある」と、人為的ミスが課題であると指摘した。

MFA疲労攻撃の流れ。攻撃者が何度も2段階認証プロセスの承認要求を送信し、被害者が誤って認証すると、攻撃者による認証=侵入が成功してしまう

中国、ロシア、北朝鮮の国家支援攻撃グループが脅威に

 国家支援グループによる、日本を標的としたサイバー攻撃が増加していることについても説明が行われた。

 同社カウンター・スレット・ユニットの玉田清貴氏(シニアセキュリティリサーチャー)は、「日本は、国土の四方を海に囲まれているため、地政学的リスクは低いといわれるが、サイバー空間においては地続きであり、日本の地理的な優位性はなくなる。むしろ、中国やロシア、北朝鮮など、日本の近隣国では、国家支援によるサイバー攻撃グループを数多く保有しており、サイバー空間においてはリスクが高い場所に位置している」と指摘した。

セキュアワークス カウンター・スレット・ユニット シニアセキュリティリサーチャーの玉田清貴氏

日本近隣の中国、ロシア、北朝鮮には国家支援によるサイバー攻撃グループが多い

 中国では、第14次五カ年計画に基づき、知的財産や貿易機密、ビジネスの機密情報を狙った攻撃活動を続けており、2022年は台湾を標的としたサイバー攻撃が増加。さらに、日本企業を含む幅広い業界を標的とした攻撃や諜報活動が増加しているという。

 また、ロシアでは、軍事作戦とリンクしたサイバー攻撃や諜報活動が増加。2022年はウクライナの政府機関や重要インフラを対象に、サイバー攻撃と軍事作戦を連携させたハイブリット型攻撃を実施しているという。

 北朝鮮では外貨獲得を目的とした活動が中心となっているほか、韓国の各種機関や日韓関係を扱う組織への継続的な諜報活動が確認されているという。

 とくに、2022年は、複数の国への軍事系、金融系企業の求人情報に偽装したフィッシングが目立っており、みずほ銀行や三井住友銀行、三菱UFJ銀行などをかたった求人情報を掲載。偽のアカウントを使ってLinkedInなどからフィッシングを行うという例があったという。

中国、ロシア、北朝鮮のサイバー攻撃グループの活動傾向

 玉田氏は、「これらの3国に共通しているのは、国際情勢や自国の経済、軍事政策の影響を強く受けた活動を行っている点である」と指摘した。2022年は、それぞれの国において、日本に対する優先度は低かった。しかし、さまざまな問題を抱えている状況にあることや、2025年に大阪・関西万博の開催を控えていることから、いまの情勢のバランスが崩れると、サイバー攻撃の矛先が日本に向けられてもおかしくないと指摘。「ウクライナや台湾に向けて行われているようなサイバー攻撃と同等以上のものが日本に向けられる可能性もあり、注意が必要である」と述べた。

中国、ロシア、北朝鮮の情勢の変化により日本に攻撃対象が移る可能性

2022年の中国は日本よりも台湾への攻撃を優先していた

 さらに、2022年に行われた中国からのサイバー攻撃に焦点を当てた解説が行われた。例年に比べると、日本へのサイバー攻撃は少ない傾向にあったが、その背景には、中国人民解放軍(PLA)の地域と標的の関連性があるのではないかと考えられるという。

 PLAでは、5つの戦区に分けて、近隣国の監視と防衛を実施しており、台湾と日本は同一の戦区に含まれている。そのため、2022年は台湾への優先度が高まったことが考えられるという。

PLAの5つの戦区。日本と台湾は同じく東部になっており、2022年は台湾への優先度が高まったと考えられる

 だが、日本へのサイバー攻撃が全くなかったわけではなく、中国のランサムウェアグループであるBRONZE STARLIGHTによる攻撃で、日本の製造業の海外拠点が狙われた例をあげた。

中国のランサムウェアグループBRONZE STARLIGHTによる攻撃の手口

 ここでは、システムへのアクセス権を何らかの形で入手し、HUI Loader(コンパクトでマルウェアとして発見されにくく、後でマルウェア本体を読み込む機能を持ったプログラムの一種)経由で、商用ペネトレーションテストツールであるCobalt Strikeを実行して横展開。情報を窃取し、オンラインファイルストレージに情報をアップロードして、同時にリークサイトに情報を掲載したという。さらに、ランサムウェアを利用して各サーバーを暗号化するといった手口を使ったサイバー犯罪だったという。

 「海外拠点ではネットワークやエンドポイントのログが十分に取得できておらず、侵入経路が判明しないことがよく見られる。侵入するとローダープログラムを用いて、バックドアなどの攻撃ツールを、検知されないように端末に忍び込ませる。それを横展開しながら、機密情報を搾取し、オンラインストレージにアップロード。リークサイトに掲載して、情報が漏れていることを明らかにする。それと並行して、組織内の端末にランサムウェアを仕掛け、サーバーを暗号化することになる」と、玉田氏は手口を説明した。

 HUI Loaderは独自性の高いローダーとして、セキュアワークスで名付けたものだが、これを分析した結果、国家支援の攻撃グループであるBRONZE RIVERSIDEが利用していることが判明したという。「世の中に出回っていないローダーが、国家支援の攻撃グループと、ランサムウェアグループにおいて使われていることから、グループ間のつながりがあると考えている」と玉田氏は述べた。

 また、BRONZE STARLIGHTでは、複数のランサムウェアを短期間に変更していることが多く、「金銭目的のサイバー犯罪では、こうした効率が悪いことは行わない。サイバー犯罪に見せかけた諜報活動が真の目的ではないだろうか」との見方を示した。

HUI Loaderを中国の国家支援の攻撃グループBRONZE RIVERSIDEと、ランサムウェアグループBRONZE STARLIGHTの双方が使っていることから、つながりがあると考えられる

変化に対応するため、2023年は「セキュリティ・アンラーニング」を

 今回のレポートをもとに、同社戦略プログラムディレクターの三科涼氏は、「日本の企業においては、いまよりも一歩進んだサイバーセキュリティ対策が必要である。そして、2023年はセキュリティ・アンラーニングを進めるべきである」と提言した。

 アンラーニングとは、これまでの価値観や知識を再考し、見直しながら、取捨選択することで、新たな知見や価値観を取り込んでいくものだ。日本では、「学習棄却」や「学びほぐし」と表現されることもある。

セキュリティ・アンラーニングの提言

 「変化が激しいサイバーセキュリティの領域において、アンラーニングのコンセプトはマッチするものになる」と三科氏は語る。

 「コスパの高いサイバー攻撃が日本においても増えていること、これまでにないほど、地政学的リスクとサイバー攻撃のリスクが密接につながっていることが最近の傾向であり、最新の脅威の動向を正しく理解することが大切である。さらに費用対効果が高い対策は何かということを見直していく必要がある」とした三科氏は、平時からのセキュリティ強化や、検知力および対応力の強化を進めること、脅威インテリジェンスの活用やサイバー攻撃演習の導入、そして、総合ソリューションとしてのXDR(Extended Detection and Response)の導入が重要になると説いた。

セキュアワークス 戦略プログラムディレクターの三科涼氏

限られたリソースで最大限の効果を得るためのXDR

 セキュアワークスも「Secureworks Taegis XDR」というXDR製品を提供しているが、さまざまなサイバー脅威を一元的に可視化し、対策するのが、XDRのコンセプトだ。

 三科氏は、「2022年に発生したランサムウェアインシデントにおいて、侵入されてから組織内で暗号化されるまでの平均時間は4.5日であり、守る側の企業にとって、検知し、対応する時間が限られているのが実態だ」と現状の危機を説明。システムが複雑化したり、DXが進展したりするなか、サイバー脅威の一元的な可視化が必要になってくるとする。

 従来は点で捉えていた脅威を面で理解し、そこに脅威インテリジェンスを活用する必要がある。他方では、サイバー攻撃の高度化、複雑化により、導入するセキュリティ製品が増加したり、それに対応するためのセキュリティ人材が不足しているという課題もある。

 ヒト、モノ、カネの費用対効果を考え直して、どこに投資をしていくかが大切になるが、三科氏は「XDRは、これらの課題を解決する一助になる。予防、検知、対応を飛躍的に向上させる統合プラットフォームであり、検知および対応するまでの平均時間を最小化できる」とする。

 ガートナーによると、XDRの利用率は全世界で5%以下に留まっているが、2027年には40%の企業が採用すると予測されるという。「サイバーセキュリティにおける費用対効果を高められるものとして注目されており、日本の企業にとっては、自分自身で守ることが求められているなか、限られたリソースや予算をどこに充填していくかを改めて見直しすべきアクションを取る1年になる」と、同氏は語った。

XDRの全体像

 最後に三科氏は、ランサムウェアの被害にあった際の身代金の支払いについても語った。「セキュアワークスの基本姿勢は、支払うべきではないというものであり、お客様にもそう話している。日本のお客様では、当社が助言をするまでもなく、身代金は支払わないという方針を打ち出しているケースが多数を占めている。払った身代金が、次の脅威のための資金になることを考えて判断しているためだ」という。

 しかしながら、支払っている企業はゼロではないという。「今日、明日の業務に支障を来したり、どうしようもないと判断して、苦肉の策として、支払ってしまう企業も一定数ある。セキュアワークスのなかにも、身代金の支払いについて交渉するチームがある」。

Source