半数以上が「最新のパッチを適用済み」なのに、サイバー被害に遭うワケ

　しかし、同資料の「侵入経路とされる機器のセキュリティパッチの適用状況」を見ると、その半数が「最新のセキュリティパッチを適用済み」だと回答しています。となると、セキュリティパッチを適用するという対策だけでは、侵入を防げないことになってしまいます。

　これはサイバー攻撃側の分業と、脆弱性だけの対策では足りないことを意味しています。同資料ではサイバー攻撃側の状況の説明として、以下のようにまとめています。

サイバー特別捜査部による事案捜査及び実態解明により、ランサムウェアの開発・運営を行う者（Operator）が、攻撃の実行者（Affiliate）にランサムウェアなどを提供し、その見返りとして身代金の一部を受け取る態様（RaaS：Ransomware as a Service）も確認された。さらに、標的企業のネットワークに侵入するための認証情報などを売買する者（IAB：Initial Access Broker）も存在するように、複数の関与者が役割を分担してサイバー攻撃を成り立たせている。

（警察庁の令和6年上半期版の「サイバー空間をめぐる脅威の情勢等」から引用）

　ここで注目すべきは、イニシャル・アクセス・ブローカー（IAB）と呼ばれる組織です。これは認証情報を奪い、それを攻撃者に売却することでビジネスとするグループです。これはつまり、「正規のID／パスワード」や「認証済みのクッキー情報」が奪われていることになるので、組織の入り口であるVPN、そしてリモートデスクトップにそれを使ってログインしてしまえば、最新のセキュリティパッチを適用していたとしても、堂々と正面玄関から侵入ができてしまいます。この流れを考えると、統計数値にも納得がいくかもしれません。

　これに加えて、私たちが認識しにくいのは、このIABが情報を盗んだタイミングと、攻撃が実行されるタイミングがズレることです。多くの統計情報やインシデントレポートで、近年では侵入してきたその経路は分かったとしても、肝心の原因や時期について調査しきれず「不明」とされているものが目立っています。

　IABが無差別でスキャンし認証情報を奪った後、買い手が付くまで時間がかかったとも考えることができるでしょう。こういったタイムラグがあると、その間に脆弱性対応を実施していたとしても、脆弱性が残っていた時期に奪われた可能性まで考えることはなかなかできないのではないかと思います。つまり脆弱性対応を実施したとしても、「それ以前にゼロデイ／ワンデイ攻撃が実行されていたとしたら？」と想定しておく必要があるのです。