サイバー“攻撃者”の知られざる仕事内容 組織化する脅威にどう備えるべきか

[PR／ITmedia]

PR

　世界中で、被害が報告されているサイバー攻撃。しかし、その攻撃者について知る機会は意外と少ない。攻撃対象はどう決めているのか、単独犯なのか組織犯なのか、詳細を把握できている人は少ないのではないか。本記事では、富士通主催ウェビナー「分業制、アウトソーシング、レポート提出まで 『ビジネス化』するサイバー攻撃のリアル」（2023年3月8日配信）を基に、サイバー攻撃の裏側と対応策に迫る。

サイバー攻撃にも「仕事を依頼するカスタマーがいる」現実

　基調講演を務めた横浜国立大学の吉岡克成氏は、冒頭で「どのような統計を見ても、サイバー攻撃の量、種類は増えており、組織化やビジネス化が進展している」と説明。“質的な脅威の増大”が起きていると警鐘を鳴らす。

　吉岡氏の研究グループでは、“おとり”システム「IoTハニーポット」を用いてマルウェア感染したIoT機器からのサイバー攻撃を観測する活動を行っている。おとりで捕まえたマルウェアを解析して、どういう振る舞いをするのか日常的に調べている形だ。

横浜国立大学 大学院環境情報研究院/先端科学高等研究院 准教授 吉岡克成氏

　「サイバー攻撃は人間が行うものであり、そこには理由がある。背景にあるのは、やはりビジネスだ。ビジネスである以上、カスタマーがいる。カスタマーを呼び込んで、自分たちのビジネスの利益を出す流れがあるはずだ」（吉岡氏）

　そこで吉岡氏は「攻撃の観察に加えて、現在ではサイバー攻撃のエコシステム、ビジネス化の観察も行っている」と説明。その活動の中で、おとりシステムで捕獲したマルウェアに関して、これを悪用する攻撃者が運営するサービス妨害攻撃代行サイトを発見した事例を紹介した。

月3000円で攻撃依頼？　パートナー募集まで

　サイト内にはクラス別に価格表が設けられており、最も高額なサービスでも月3000円程度で依頼できることが分かる。また攻撃手法の詳細についても説明がされており、自分たちの能力を示すため、あえて強固なセキュリティ対策をしているターゲットを狙い「カスタマーに向け攻撃のデモンストレーションを行うといった行為も確認できる」（吉岡氏）

　また、吉岡氏は犯罪の隠れみのになる「プロキシサービス」の存在にも触れる。これはサイバー攻撃をする際、身元がバレないようにするための“踏み台サービス”だ。ここでは世界中で乗っ取った機器が踏み台として販売されており、かつ時間とともにローテーションする仕組みになっているため追跡が難しい。

　ほかにも、システムへの不正な侵入経路のアクセス権、数十万台規模もの機器を乗っ取ることで構築したボットネットの操作権など、ネット上ではさまざまなものが売買されている。中には攻撃パートナーの募集を呼びかける情報サイトも存在するというから、あきれるばかりだ。

ランサムウェア、攻撃対象は利用広がるVPN

　サイバー攻撃の中でも、被害が相次いでいるものといえばランサムウェアだ。実は多くの場合、侵入経路になるのは「VPN」だと吉岡氏は話す。

　「例えば、21年に米大手のパイプライン会社がランサムウェアによって5日間の操業停止、身代金4.8億円の支払いを余儀なくされた。攻撃の原因は、VPNの正規アカウントが乗っ取られたこと。使い回していたパスワードが漏えいしたといわれている。

　VPNを使った侵入も含めて、国内企業のランサムウェア被害も増えている。攻撃対象は大企業だけだと思われがちだが、警視庁の調査レポートによると半数以上は中小企業だ。これは決して、対岸の火事ではない」（吉岡氏）

世界のランサムウェア攻撃事例（セミナー資料より。以下同）

　なお「身代金を支払わない」選択をした場合、攻撃者は何らかの形で対価を得ようと考える。実際に、リークデータの販売マーケットでは活発な売買が確認できると吉岡氏は話す。逆に身代金を支払うとなった場合は、攻撃者が「データを復元するための技術的なサポートをする場合もある」（吉岡氏）という。

　吉岡氏は最後に、「サイバー攻撃を受けないためには侵入されないことが第一だが、侵入されたとしても（脅威を）早く見つけて被害を最小化すること。また回復して事業を継続すること。そのためのサイバーレジリエンスの重要性が非常に高まっている」と強調した。

自社でできる対策後は、外部の専門サービスを

　吉岡氏がいうサイバーレジリエンスはどう強化すればいいのか。その解決策を示すのは、続くセッションに登壇した扶桑電通と富士通の講演だ。

　まず扶桑電通の渡邊友紀氏は、情報処理推進機構（IPA）に届け出があった不正アクセスの事例を紹介する。それによると、要因は総当たり攻撃によるパスワードの突破、VPN装置の脆弱性を悪用した不正侵入などにあるという。

扶桑電通 ビジネス推進統括部 チーフ 渡邊友紀氏

　渡邊氏は、脆弱性の検証と修正パッチの公開が完了するまでの一連の手続きについて「45日以内に完了する割合は3割弱」と説明し、その間にゼロデイ攻撃を受ける可能性があること、脆弱性を放置した場合さらなる侵入機会を攻撃者に与えてしまうことに言及。「脆弱性対応は常に、後追いの戦いを強いられる」と話す。

　万一、情報漏えいした場合は、個人情報保護委員会への報告が義務化されている。加えて、取引先への説明責任も必要だ。渡邊氏は「報告事項から逆算して準備することが最も効率的」と話し、セキュリティ専門家を選定しておくことなどを推奨する。また、セキュリティポリシーの策定、不審メールへの対応、パスワード要件の見直しなどはお金をかけずに進められ、高い専門性も必要ない。サイバーレジリエンス強化のためにも「できる範囲で着実に進めるべき」（渡邊氏）だろう。

入り口から出口まで　扶桑電通「SasaL」サービス

　診断サービスを利用し、インフラに潜む脆弱性を日常的にチェックすることも有用だ。例えば扶桑電通が提供する「SasaL（ササエル） セキュリティ診断サービス」も役立つ。渡邊氏は詳細について、「Webアプリやプラットフォーム、IoT機器を対象に、脆弱性のスキャンから侵入テストまで幅広いラインアップを用意する」と説明。ほか、同社では「標的型攻撃メール訓練」「サイバーセキュリティ講習」をセットで用意するなど、社員の防御力を強化するため多角的に予防対策支援を行っているという。

　また、実際にサイバー攻撃を受けた際は、素早い「発見」「対応」が事業継続の肝となるが、これは自社だけでは限界がある。渡邊氏は「日頃からセキュリティ専門家と身近に接することが重要」とし、同社が提供する会員制のインシデント対応支援サービス「CYBERGYM Express」や「SasaL 情報セキュリティ監査サービス」に触れながら、「当社はセキュリティ対策に関して、入り口から出口、内部対策まで幅広いセキュリティツールの導入実績を持つ。一気通貫でセキュリティ対策を支援できるので、ぜひお気軽にご相談いただきたい」と語った。

左：セキュリティ診断サービスのラインアップ。右：CYBERGYM Express詳細

現代に適したセキュリティ対策、勘所はエンドポイント

　最後に登壇した富士通の丸子正道氏は、リモートワークをはじめとする新しい働き方に必要なゼロトラストネットワークに求められる要素として、「エンドポイント（社員のPCなど）」領域の最適な環境構築を挙げる。

　「エンドポイント領域においては、ネットワーク環境や利用シーンに応じたリスクへの配慮が重要だ。今後はオープンなインターネット環境に利用シーンが広がることで新たなリスクが発生するが、どのようなネットワーク環境においても安心して（エンドポイントを）利用するためには、包括的な3本の軸で対策を実施する必要がある」（丸子氏）

　3つの軸とは「ウイルス・マルウェア対策の強化」「本人認証の強化」「データ保護の強化」のこと。丸子氏は、「富士通では『パソコンはセキュリティで選ぶ時代に』をコンセプトに掲げ、PC自体でエンドポイントセキュリティ対策を強化している」と話す。

本人認証からデータ保護まで「PC単体」で対策可能

　まずウイルス・マルウェア対策についてはBIOS、OSの耐タンパー性を強化している。詳細について丸子氏は「ウイルス対策ソフトのカバー範囲はOS上のみ。しかし最近のウイルスはBIOSを攻撃するものもあり、この部分はPC本体の機能としての対策が必須だ」と説明。同社PCにセキュアBIOSと、Endpoint Management Chip（EMC）を標準搭載したと語る。

　「PC起動時にBIOSへの攻撃を検知し、自動的に復旧する。これにより、BIOSが攻撃を受け、書き換えられたPCが起動しないといったトラブルを回避できる」（丸子氏）

富士通 CCD事業統括部 プロモーション推進部 部長 丸子正道氏

　本人認証の強化については、手のひら静脈認証や指紋認証用のセンサーなど、選択したセキュリティデバイスをPCに内蔵している点がポイントだ。中でも手のひら静脈認証は、近赤外線により静脈のパターンを抽出、登録した画像を比較して本人かどうかを判断する高度な技術。静脈は摩耗や加齢の影響を受けづらく、非接触なので衛生面でも利点がある。

　ほか、利用者の離席や第三者のぞき見を検知する機能も特徴だ。PCを起動した際に、最初にWebカメラが捉えた利用者を自動登録することで、利用者が離席したら自動的にPCをロック。のぞき見があれば通知も受け取れるなど、多様なシーンを想定した強固なセキュリティ環境をPC自体で構築する。

　最後、データ保護の強化についてはどうか。丸子氏はそれについて、「秘密分散ソフト」で対応すると説く。ファイルをPC内蔵ストレージとファイルサーバまたはスマートフォンに分散保存でき、両方の分散片が揃わなければファイルを復元できないためPCの盗難や紛失があった際でも情報漏えいを防げる。分散保存されたデータは非常に小さく、復元も瞬時に終了。Bluetooth接続により、オフライン環境下であっても復元できるという。

左：BIOS／OSの耐タンパー性強化について。右：実際にLIFEBOOK U9シリーズで、手のひら静脈認証を実演する丸子氏

　これら3本の軸は、PC本体でなければ対応できない部分も大きい。丸子氏は最後に、セミナーで触れたセキュリティ機能を搭載するLIFEBOOK U9シリーズの実機を紹介。優れた携帯性や大画面で作業しやすい点などを説明しながら、「ぜひ当社PCのエンドポイント対策も含め、セキュリティ面をトータルで支援できる富士通の販売パートナー、扶桑電通にご相談いただければ」と語り講演を終えた。

　セキュリティ対策について、企業側の危機管理意識も高まってはいるが、「ビジネスモデルを持続させるため、サイバー攻撃は多様なステップを組織化、分業化することで効率化を進めている。どのような組織であっても油断はできない」（吉岡氏）状況だ。進化する攻撃に備える上で、扶桑電通のサポート力、富士通の先進技術は強力な味方になってくれるだろう。