クマル・リテシュ
<筆者が運営するCyfirma社の調査によれば、日本に対するサイバー攻撃は「急増」している状況。誰が、どんな方法で攻撃を仕掛け、漏洩したデータはどうなるのか?>
前回のコラムでは、日本の経済はその規模と多様性で、サイバー攻撃に狙われやすいと説明した。日本は自動車や先端テクノロジー、金融サービスの極めて重要な拠点として機能しており、日本製品の優れた品質とメーカーの知的財産(IP)は、国家型のサイバー攻撃者や金銭目的のサイバー脅威主体にとって魅力的な標的となっていることにも触れた。
■前回の記事:総選挙を前に「日本企業を狙った」サイバー犯罪がさらに活性化...特に「狙われる」業界とは?
今回は、どんな攻撃者たちが日本を狙っているのかにフォーカスしてみたい。
私が運営するCyfirma社では、サイバー攻撃者たちが集まるダークウェブ(地下のサイバー空間)を遠隔監視し、早期警戒システムを構築している。そこで蓄積されたデータによれば、2021年初頭以降、日本国内で被害が発生したサイバー攻撃キャンペーンを180件検出している。
そして2023年は85件の攻撃キャンペーンが観測され、これまでで最多となった。2023年の6月と7月は、それぞれ22件のキャンペーンを記録しており、傾向として日本に対するサイバー攻撃が急増していると言える。しかもこれらの背後には、例えば、北朝鮮系のサイバー攻撃グループ「ラザルス」が猛威を振るい、さらにメールセキュリティシステムの「バラクーダESG」の脆弱性が悪用されたケースなどが確認されたこともある。
日本で最も活発に活動しているサイバー攻撃グループ
日本で最も活発に活動しているサイバー攻撃グループは、ラザルスと中国政府系サイバー攻撃グループの「MISSION2025(別名APT41)」、そしてロシアの複合サイバー犯罪組織「FIN7」や「FIN11」、「TA504」などが確認されている。
日本を襲っている攻撃者たちのランキング
観測されたマルウェアの上位は、攻撃グループとの相関性が高い。MISSION2025と繋がりのあるマルウェア「Winnti」と「PlugX」や、ラザルスが使う「NukeSped RAT」と「Tofsee」、ランサムウェア攻撃を行うロシアのサイバー犯罪組織が使う「エモテット(Emotet)」。「Cobalt Strike」というマルウェアは非常に効果的なので誰もが使用している。もっとも、検出した合計331個のマルウェアのうち58個が未知の、いわゆるカスタムツールだった。
攻撃手法を見ると、Cyfirma社の高度遠隔測定システムでは、例えば、サイバー攻撃でよく使われるフィッシング(詐欺メールなど)のキャンペーンを過去6カ月は合計60万8999件検出している。このサンプル数によって、全体的な脅威の状況を十分に把握することができる。日本ではフィッシングメールなどの送信元として悪用されているのは、「物流・宅配便」、「金融」、「eコマース」が目立つ。宅配の偽メッセージなどがそれだ。
テレグラムなどで過去の漏洩データを再共有
こうした攻撃によって起きる企業や組織のデータ漏えいは、個人情報の盗難、金融詐欺、影響を受けた組織の信頼と評判の深刻な損失につながる可能性がある。さらに、フィッシング詐欺、ランサムウェア攻撃、不正アクセスなど、より標的を絞った効果的な攻撃を行うために必要なデータをサイバー攻撃者に提供することになる。
特に、流出した情報に個人識別情報(PII)が含まれている場合はなおさらだ。2023年に日本の保険会社が情報漏えい事件の犠牲になったが、この漏洩データが今、再び脚光を浴びており、無料メッセージングアプリのテレグラム上で拡散されている。さらに他のランサムウェア攻撃グループも、テレグラムなどで過去の漏洩データを再共有していることが少なくない。
他にも、例えば、あるテレグラムユーザーは日本の運転免許証の漏洩情報を求めるメッセージを掲載しており、何らかの有害なサイバー攻撃を行う準備をしていることがわかる。日本のプラスチック加工業界をリードするある企業は、最近、データ流出に見舞われたが、流出したデータは約187GB規模で、現在テレグラムのデータ流出チャンネルに出回っている。
こうしたデータは複数のグループで再共有され、自由にダウンロードできるようになっている。さらに、Cyfirma社では、日本のソフトウェア会社から131GBのデータを盗んだサイバー攻撃グループがダークウェブの掲示板でそのデータを販売しているのを特定している。社内の個人的な電子メール、通信記録、ソースコード、顧客データ、財務記録、およびその他の機密情報が漏れていた。
国内の業種別では製造業が最も狙われている
ランサムウェア攻撃で有名な「LockBit3」も、特に2022年以降日本をターゲットにしている。日本国内の業種別では、製造業が最も狙われている。次いで、消費財・サービス、素材、ヘルスケアとなっている。今年2月には、LockBit3に対する法執行措置が行われ、LockBit3の運営に大きな打撃を与えた。だが残念ながら、ランサムウェア攻撃の数は減っていない。
日本は世界で最もランサムウェアの標的にされている国のひとつだ。もちろんアメリカなど英語圏の国々は依然として標的にされることが多く、アメリカだけでランサムウェア被害者の半数になる。
脆弱性という意味では、特にゼロデイ(まだ知られていないセキュリティの欠陥)脆弱性の悪用は、検知を迂回しようとするサイバー攻撃者にとって好都合な攻撃の入口となる。特に、中国とロシアの脅威勢力は、スパイ活動の一環としてゼロデイ脆弱性を巧みに利用していることで知られる。
攻撃者らは広範な攻撃対象領域を侵害することを目的として、サプライチェーン攻撃の機会を積極的に狙っている。このような多面的なアプローチは、敵対者が採用する戦術が絶えず進化していることを浮き彫りにしていると言えよう。日本の産業部門が拡大し、産業オートメーションへのシフトが顕著であることを考慮すると、効果的なセキュリティ対策が極めて重要であることを強調する必要がある。
筆者は2024年12月10日に開催される「Security Management Conference 2024 Winter」にて特別講演を行う予定だ。この特別講演には日本語字幕も用意されているのでぜひ申し込みの上、会場に足を運んでいただきたい。
元情報機関、そしてグローバル企業の元CISOとしての経験から、日本の組織がサイバー攻撃に遭わないために検討すべきポイントについて議論していきたいと考えている。
セキュリティマネジメントカンファレンス開催概要
セキュリティマネジメントカンファレンス 2024 Winter
サイファーマ特別講演日時:2024年12月10日(火)16:40~17:10
詳細・お申込はこちら: https://www.sbbit.jp/eventinfo/81519
日本を襲っている攻撃者たちのランキング
<筆者が運営するCyfirma社の調査によれば、日本に対するサイバー攻撃は「急増」している状況。誰が、どんな方法で攻撃を仕掛け、漏洩したデータはどうなるのか?>
前回のコラムでは、日本の経済はその規模と多様性で、サイバー攻撃に狙われやすいと説明した。日本は自動車や先端テクノロジー、金融サービスの極めて重要な拠点として機能しており、日本製品の優れた品質とメーカーの知的財産(IP)は、国家型のサイバー攻撃者や金銭目的のサイバー脅威主体にとって魅力的な標的となっていることにも触れた。
■前回の記事:総選挙を前に「日本企業を狙った」サイバー犯罪がさらに活性化...特に「狙われる」業界とは?
今回は、どんな攻撃者たちが日本を狙っているのかにフォーカスしてみたい。
私が運営するCyfirma社では、サイバー攻撃者たちが集まるダークウェブ(地下のサイバー空間)を遠隔監視し、早期警戒システムを構築している。そこで蓄積されたデータによれば、2021年初頭以降、日本国内で被害が発生したサイバー攻撃キャンペーンを180件検出している。
そして2023年は85件の攻撃キャンペーンが観測され、これまでで最多となった。2023年の6月と7月は、それぞれ22件のキャンペーンを記録しており、傾向として日本に対するサイバー攻撃が急増していると言える。しかもこれらの背後には、例えば、北朝鮮系のサイバー攻撃グループ「ラザルス」が猛威を振るい、さらにメールセキュリティシステムの「バラクーダESG」の脆弱性が悪用されたケースなどが確認されたこともある。
日本で最も活発に活動しているサイバー攻撃グループ
日本で最も活発に活動しているサイバー攻撃グループは、ラザルスと中国政府系サイバー攻撃グループの「MISSION2025(別名APT41)」、そしてロシアの複合サイバー犯罪組織「FIN7」や「FIN11」、「TA504」などが確認されている。
日本を襲っている攻撃者たちのランキング
観測されたマルウェアの上位は、攻撃グループとの相関性が高い。MISSION2025と繋がりのあるマルウェア「Winnti」と「PlugX」や、ラザルスが使う「NukeSped RAT」と「Tofsee」、ランサムウェア攻撃を行うロシアのサイバー犯罪組織が使う「エモテット(Emotet)」。「Cobalt Strike」というマルウェアは非常に効果的なので誰もが使用している。もっとも、検出した合計331個のマルウェアのうち58個が未知の、いわゆるカスタムツールだった。
攻撃手法を見ると、Cyfirma社の高度遠隔測定システムでは、例えば、サイバー攻撃でよく使われるフィッシング(詐欺メールなど)のキャンペーンを過去6カ月は合計60万8999件検出している。このサンプル数によって、全体的な脅威の状況を十分に把握することができる。日本ではフィッシングメールなどの送信元として悪用されているのは、「物流・宅配便」、「金融」、「eコマース」が目立つ。宅配の偽メッセージなどがそれだ。
テレグラムなどで過去の漏洩データを再共有
こうした攻撃によって起きる企業や組織のデータ漏えいは、個人情報の盗難、金融詐欺、影響を受けた組織の信頼と評判の深刻な損失につながる可能性がある。さらに、フィッシング詐欺、ランサムウェア攻撃、不正アクセスなど、より標的を絞った効果的な攻撃を行うために必要なデータをサイバー攻撃者に提供することになる。
特に、流出した情報に個人識別情報(PII)が含まれている場合はなおさらだ。2023年に日本の保険会社が情報漏えい事件の犠牲になったが、この漏洩データが今、再び脚光を浴びており、無料メッセージングアプリのテレグラム上で拡散されている。さらに他のランサムウェア攻撃グループも、テレグラムなどで過去の漏洩データを再共有していることが少なくない。
他にも、例えば、あるテレグラムユーザーは日本の運転免許証の漏洩情報を求めるメッセージを掲載しており、何らかの有害なサイバー攻撃を行う準備をしていることがわかる。日本のプラスチック加工業界をリードするある企業は、最近、データ流出に見舞われたが、流出したデータは約187GB規模で、現在テレグラムのデータ流出チャンネルに出回っている。
こうしたデータは複数のグループで再共有され、自由にダウンロードできるようになっている。さらに、Cyfirma社では、日本のソフトウェア会社から131GBのデータを盗んだサイバー攻撃グループがダークウェブの掲示板でそのデータを販売しているのを特定している。社内の個人的な電子メール、通信記録、ソースコード、顧客データ、財務記録、およびその他の機密情報が漏れていた。
国内の業種別では製造業が最も狙われている
ランサムウェア攻撃で有名な「LockBit3」も、特に2022年以降日本をターゲットにしている。日本国内の業種別では、製造業が最も狙われている。次いで、消費財・サービス、素材、ヘルスケアとなっている。今年2月には、LockBit3に対する法執行措置が行われ、LockBit3の運営に大きな打撃を与えた。だが残念ながら、ランサムウェア攻撃の数は減っていない。
日本は世界で最もランサムウェアの標的にされている国のひとつだ。もちろんアメリカなど英語圏の国々は依然として標的にされることが多く、アメリカだけでランサムウェア被害者の半数になる。
脆弱性という意味では、特にゼロデイ(まだ知られていないセキュリティの欠陥)脆弱性の悪用は、検知を迂回しようとするサイバー攻撃者にとって好都合な攻撃の入口となる。特に、中国とロシアの脅威勢力は、スパイ活動の一環としてゼロデイ脆弱性を巧みに利用していることで知られる。
攻撃者らは広範な攻撃対象領域を侵害することを目的として、サプライチェーン攻撃の機会を積極的に狙っている。このような多面的なアプローチは、敵対者が採用する戦術が絶えず進化していることを浮き彫りにしていると言えよう。日本の産業部門が拡大し、産業オートメーションへのシフトが顕著であることを考慮すると、効果的なセキュリティ対策が極めて重要であることを強調する必要がある。
筆者は2024年12月10日に開催される「Security Management Conference 2024 Winter」にて特別講演を行う予定だ。この特別講演には日本語字幕も用意されているのでぜひ申し込みの上、会場に足を運んでいただきたい。
元情報機関、そしてグローバル企業の元CISOとしての経験から、日本の組織がサイバー攻撃に遭わないために検討すべきポイントについて議論していきたいと考えている。
セキュリティマネジメントカンファレンス開催概要
セキュリティマネジメントカンファレンス 2024 Winter
サイファーマ特別講演日時:2024年12月10日(火)16:40~17:10
詳細・お申込はこちら: https://www.sbbit.jp/eventinfo/81519
日本を襲っている攻撃者たちのランキング