日本は世界2位のサイバー攻撃の標的に―BlackBerry Japanが「グローバル脅威インテリジェンスレポート」を公開 

INTERNET Watch

 BlackBerry Japan株式会社は、「グローバル脅威インテリジェンスレポート」の2022年第4四半期日本語版を公開した。これまで、日本は言語の壁などによってサイバー攻撃の標的にされにくいと言われていたが、世界で2番目に多く攻撃を受けていたことが分かった。

 同社のグローバル脅威インテリジェンスレポートは、これまで年に1回の発表だったが、「サイバー攻撃の変化や進化を迅速に把握し、理解してもらうため」(BlackBerry Japanの吉本努社長)に、今回から四半期に一度の発表にサイクルを変更したという。脅威を取り巻く環境を明確に提示し、状況に応じた準備と自衛を支援することが狙いだとしている。

BlackBerry Japan株式会社 執行役員社長の吉本努氏

「1分に1個のペースで新しいマルウェアが生まれている」

 今回のレポートでは、BlackBerryの脅威リサーチ&インテリジェンスにおける2022年9月1日~11月30日の3カ月間の動向をまとめている。

 これによると、期間中に世界全体で175万7248件のサイバー攻撃を阻止し、1日平均1万9524個のマルウェアを検知したという。また、確認した未知のマルウェアは13万3695個で、1時間あたり62個に達した。

 主任脅威解析リサーチャーの糟谷正樹氏は「1分ごとに1個、重複しないマルウェアが生まれている。これだけ速いペースで新たなマルウェアが生まれている状況では、いままでのセキュリティ対策のままでは不十分だと言わざるを得ない。新たな脅威に対して、どれだけ早く対策を行えるかが重要になる」と、セキュリティ対策を見直すことの必要性を指摘した。

2022年9月1日~11月30日の期間中、世界全体で175万7248件のサイバー攻撃を阻止し、1日平均1万9524個のマルウェアを検知した

BlackBerry Japan株式会社 主任脅威解析リサーチャーの糟谷正樹氏

 今回の調査期間にサイバー攻撃の標的となった上位10カ国を見ると、米国が65%と最も多いが、日本は8%を占め、米国に次いで2位となった。糟谷氏は「日本は言語の壁があり、標的になりにくいとされていたが、それが通用せず、セキュリティ対策が弱い企業などが狙われている。Emotetの流行も、日本での攻撃が増加している理由のひとつである」とした。

日本は、米国(全体の65%)に次いでサイバー攻撃の標的になった数が多い(8%)

 観測されたマルウェアでは、2022年10月~11月にばらまきキャンペーンが観測された「Emotet」が最も多く、Emotetと似た機能を持つ「Qakbot」、RedlineやRaccoonなどの情報窃取型マルウェアを取得および実行する「GuLoader」などが多かったという。

 糟谷氏は「Emotetでは、オフィスファイルを特定のディレクトリに移動させるように誘導して感染させる新しいテンプレートの登場や、Google Chromeに保存してあるクレジットカード情報を盗むモジュールの追加など進化を続けている」とし、今後もEmotetの進化は続くと予測した。また、Emotetは1年に1回活動活発になる時期があり、これからも同様の傾向が見られるだろうとした。

 続けて、GuLoaderについて分析。GuLoaderはメジャーなクラウドストレージであるGoogle DriveやMicrosoft OneDriveに保存され、URLフィルタリングの対策では困難だという特性もあることから「単一の対策では防げないと考えた方がいい」とした。

 また、GuLoaderが実行するマルウェアについても分析。「Raccoonは開発者が逮捕されたことで2022年3月には活動を停止したが、6月には新たなバージョンが登場し、いまでも活動が継続している。多くのマルウェアをばらまく性質を持ったRedlineは毎月多くの感染を観測していたが、今回の調査期間では最も多くのマルウェアをばらまいていたことが分かった。ClipperやCoinMinerなどのマルウェアもばらまいている」とした。

macOSを対象としたサイバー攻撃も確認

 Windows以外のプラットフォームも、攻撃の対象になっていることが分かった。例えば、macOSで最も多く確認されたのは、不正な広告を通じてユーザーのデータを収集する「Dock2Master」であり、macOSを使用しているクライアント企業の34%が自社ネットワークにDock2Masterを保有しており、macOSを安全なプラットフォームと考えるのは、もはや誤解であると指摘している。

 「macOSは、仕事で利用するコンピュータとしての存在感を増しつつあり、社内ネットワークを通じて情報にアクセスできる可能性が高まっている。Linuxは、90%のクラウドサービスで採用されており、攻撃者も投資を拡大しているところである。クラウド上には顧客データが多く格納されており、機微な情報も入手できると考えている」と、糟谷氏は説明。BYODの浸透などにより、個人情報が多く蓄積され、社内ネットワークにもつながるモバイルデバイスを狙うケースが増えていることから、今後もWindows以外を狙う例が増加するだろうと予想した。

攻撃者はセキュリティ対策が甘い子会社や委託業者から侵入する

 ヘルスケアでは、Qakbotが多く使われる傾向があり、とくに、Qakbotを使い、ランサムウェアのBlackBastaをばらまく事例が多いという。2022年10月に大阪の病院で発生したランサムウェアの被害は、病院側のセキュリティは守られていたものの、委託業者のセキュリティの脆弱性を利用して内部ネットワークに侵入。完全復旧まで3カ月を要している。

2022年10月に大阪の病院で発生したランサムウェアの被害は、委託業者のセキュリティの脆弱性が利用された

 自動車業界では、フィッシングメールでさまざまなマルウェアをばらまく動きが見られたという。「自動車業界には付加価値の高い知財情報があり、攻撃者にとって魅力的なターゲットとなっている。情報窃取型マルウェアに感染すると、さらに別のマルウェアに感染してしまう傾向がある。また、遠隔操作ツールを同時に用いて、侵入口を確保する動きもある。ランサムウェアによって、事業の停止や二重脅迫による情報の暴露といった被害も引き起こされている」と、糟谷氏は説明。日本でも、サプライチェーン攻撃により、国内の自動車工場が停止。部品の仕入先がランサムウェアの被害にあったことが発端になっている可能性が高いとした。

 「攻撃者はセキュリティ対策が甘い侵入口を利用するため、自社が堅牢な状態になっていても、子会社や委託業者の対策が不十分なら、そこから侵入する動きが顕著に見られる。自社との境界には適切な認証が必要だ。例外を許さず、サプライチェーン攻撃のリスクを低減していく必要がある」と訴えた。

 さらに、ウクライナ情勢に便乗したキャンペーンも発生しているという。

 中国に拠点を持つサイバー攻撃グループ「Mustang Panda」では、ウクライナに対するEUの支援などについて書かれた内容を、Wordファイルを装った悪性のリンクファイルとして配信。これをダブルクリックすると裏で悪質なコマンドが動き出し、感染してしまうという。

 また、マルウェアの一種である「RomCom RAT」では、ウクライナの国防に関連しているかのようなフィッシングURLを使用したフィッシングメールを送信。これによって、ウイルスに感染させてしまうといった動きも見られたという。

VPNやリモートデスクトップからの侵入への対策が急務

 続けて。サイバー攻撃の傾向について社長の吉本氏が説明。冒頭でIPAが発表した「情報セキュリティ10大脅威」を参照し、「IPAの調査からもわかるように、ランサムウェアによる被害、サプライチェーンの弱点を悪用した攻撃が増加していることに加えて、最近では、修正プログラムの公開前を狙った攻撃(ゼロディ攻撃)が増加している」とした。

「情報セキュリティ10大脅威」から、ランサムウェアによる被害、サプライチェーンの弱点を悪用した攻撃、ゼロデイ攻撃に注目

 日本でのランサムウェアの被害は倍増し、半分以上を中小企業が占めていることは警察庁の調査でも明らかにされているという。セキュリティ対策が進んでいる大企業がターゲットではなく、取引がある中小企業を狙っていると、吉本氏は説明した。

 警察庁の調査資料「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアの被害を受けた企業の87%がウイルス対策ソフトを導入していたが、対策ソフトを導入していた企業の90%の企業が、ウイルスを検出しなかったという。つまり、多くは対策ソフトにより対策可能なPC以外を進入路としている。

 同資料によれば、ランサムウェアの感染経路の83%がVPN機器またはリモートデスクトップからの侵入であると吉本氏は説明し、「リモート接続環境でのセキュリティ対策が急務である」と指摘した。BlackBerryが対応したインシデントの傾向でも、ランサムウェアによる被害が60%を占め、次いでEmotetによる被害、情報窃取型マルウェア(インフォスティーラー)による被害が多いという。

警察庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアの感染経路はVPN機器からの侵入が68%、リモートデスクトップからの侵入が15%で、両者の合計は83%

 これらのインシデントが発生した企業では、多様化する攻撃に対応するためにMDR(Managed Detection and Response)サービスの導入を検討し、専門家の知見を採用しはじめたり、信頼できる通信のみを許可し、データリソースごとのアクセス制御を実施するゼロトラストネットワークの導入、多要素認証の導入などを検討したりする例が多いという。

 また、インシデント対策マニュアルの策定に加えて、これを海外拠点や関連会社を含めて周知徹底に取り組むケースも多いと説明した。

2023年第1四半期はウクライナ支援国や自動車業界を狙った攻撃を予測

 2023年第1四半期の脅威予測についても説明が行われた。

 糟谷氏は、ウクライナを支援する国へのサイバー攻撃、Go言語やRust言語を使用したマルウェアの増加、日本における標的型攻撃やサプライチェーン攻撃の継続、の3点を、2023年第1四半期の脅威予測として挙げた。

 そのうえで、「日本は地政学上、さまざまなリスクに晒されていることを理解すべきである。日本近海で有事が起きたとき、日本が狙われる確率が高い。サイバー攻撃に対する耐性を高めておく必要がある」と、糟谷氏は説明する。

 Go言語やRust言語を使用しすることで、Windows以外のOSへも攻撃が行いやすい環境が生まれる。そのため、さまざまなプラットフォームにおける対策が必要になるとした。また、標的型攻撃やサプライチェーン攻撃が継続すると予測されることから、自社だけでなく、取引先とのやり取りでもセキュリティレベルを高めておくことが大切だと語った。

 今回の会見では、自動車業界におけるサイバーセキュリティの状況について、組み込み型ソフトウェアの観点からも説明した。BlackBerryでは「QNX」というソフトウェアプラットフォームを提供しており、自動車業界が最大の顧客だという。

 自動車業界では、CASE(コネクテッド、自動運転、シェアリング、電動化)の進展に伴い、自動車に利用されるソフトウェアが増加しているという。BlackBerry Japanカントリーセールスマネージャーのアガルワル・サッチン氏は「高級車には1億行のコードが使われており、これは戦闘機よりも多い」と指摘する。

 「コードは2030年には30億行になり、サイバー攻撃の対象がさらに大きくなるとも言える。加えて、5Gをはじめとしたさまざまなネットワークの利用、各種センサーの搭載、USBポートやBlutoothなどの利用が増加することで、自動車に対する侵入口も増加する。攻撃者にとっては、自動車をハッキングする機会が増加するともいえる」と、サッチン氏は今後自動車業界を狙った攻撃が増加する可能性を予測した。

 同氏は続けて、「SBOM(Software Bill of Materials)によるソフトウェアサプライチェーンマネジメントの強化、セキュリティ管理の標準フレームワークの採用のほか、ハードウェアからソフトウェア、エッジからクラウドまでをカバーするために、セキュリティに関する高いスキルを持ち、組織を横断したクロスファンクショナルチームを構築すること、セキュリティファーストの考え方の導入、セキュアなOTA(Over-The-Air)によるアップデートの実現が必要になる」と提言した。

BlackBerry Japan株式会社 カントリーセールスマネージャーのアガルワル・サッチン氏

Source