2023年はランサムウェアの1年だった 編集部が選ぶ主要セキュリティトピック：編集部コラム

読者の皆さんは2023年、サイバー攻撃の被害に遭わず無事に過ごせたでしょうか。年の瀬ということで「ITmedia エンタープライズ」編集部が印象的だったセキュリティトピックを振り返ります。

[田渕聖人，ITmedia]

　2023年もそろそろ終わりを迎えようとしています。読者の皆さんはサイバー攻撃の被害に遭わず無事に1年を過ごせたでしょうか。

　本年も非常に多くのセキュリティトピックが話題になりましたが、本記事では「ITmedia エンタープライズ」編集部が選んだ特に印象的なトピックを振り返ろうと思います。

やはり2023年はランサムウェアの1年だった

　まずは何といってもランサムウェア関連の事件は振り返らないわけにはいきません。ランサムウェア攻撃が激化している中、数多くの企業が被害を公表しました。国内で特に話題になったのは「名古屋港統一ターミナルシステム」（NUTS）を襲ったランサムウェア被害でしょう。

　復旧にかかった時間自体は約3日と非常にスピーディーでしたが、日本の重要インフラを狙ったサイバー攻撃ということで大きな話題になりました。

関連記事

• 名古屋港で発生したランサムウェア被害　復旧までの経緯を公開
• 名古屋港のシステム障害、原因はランサムウェア　復旧のめどは

　また、本年は国内外でファイル転送サービスを狙ったランサムウェア攻撃が激しさを増した1年だったと思います。国内ではプロットが提供しているファイル転送サービス「Smooth File」が被害に遭い、多くのユーザー企業がサービスのアクセス障害の影響を受けました。

　国外ではProgress Softwareの「MOVEit Transfer」のゼロデイ脆弱（ぜいじゃく）性を悪用したランサムウェア攻撃に始まり、Fortraの「GoAnywhere」やIBMの「Aspera Faspex」など複数のファイル転送サービスがサイバー攻撃を受けました。ファイル転送サービスは重要情報が集まる場所であることから、サイバー攻撃者の標的になりやすいのかもしれません。

関連記事

• 「Smooth File」のランサムウェア被害の原因判明　VPN機器の脆弱性を悪用か
• 「Smooth File」のランサムウェア被害　プロットが調査報告の最終版公開
• MOVEit関連のサイバー攻撃　発覚から数カ月も被害者が増え続けるワケ
• ファイル転送サービスはなぜサイバー攻撃の標的になるのか？

　もう一つ、国外で大変注目を集めたのが2023年9月に発生したOktaのインシデントでしょう。Oktaのカスタマーサポート管理システムがランサムウェアグループによってサイバー攻撃を受け、全てのOktaのカスタマーサポートシステムのユーザー名と電子メールアドレスが漏えいしました。

　サイバー攻撃者は窃取した情報を使って、カジノやホテル業界大手企業のMGM Resorts、Caesars Entertainmentなどにソーシャルエンジニアリング攻撃を仕掛け、さらなる大規模な情報漏えいにつながりました。

　一連のサイバー攻撃は米国企業を中心に大きな被害を生みましたが、こうした攻撃は今後も発生する可能性があることから、日本企業も決して無関係とはいえません。ソフトウェアサプライチェーン攻撃対策は企業が取り組むべき喫緊の課題だとあらためて認識してほしいと思います。

関連記事

• サイバー攻撃者はなぜギャンブル業界を狙うのか？　お金だけじゃないその理由
• Okta環境で発生したデータ漏えい　当初の予測より漏えい範囲は甚大か
• 米国の巨大ホテル企業が被害に遭った、Oktaユーザーを狙った“古くて新しい”攻撃とは？
• Microsoftが「最も危険な金融犯罪グループ」と評するScattered Spider　その実態は？

　ランサムウェア攻撃の新たなトレンドとしては、「ノーウェアランサム」という手法も出現しました。ノーウェアランサムとは警察庁のレポート「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」で触れられており、「暗号化」を介さず、ランサムウェアによって窃取した情報をそのまま身代金支払いの交渉に利用する手口です。レポートによると、判明しているだけでも2023年にこの手口を使った攻撃が6件確認されています。

　ただ、新手の攻撃手法とはいえ基本的に企業側でやることはあまり変わりません。電子メールやVPNなどの侵入の入り口をしっかりと防ぎ、万が一侵入を許した場合に備えてEDR（Endpoint Detection and Response）製品などで十分に検知できる仕組みを整えましょう。

関連記事

• 警察庁が言う“ノーウェアランサム”とは何か？　新たな攻撃が生まれた背景を探る
• マルウェアを使わなくなった攻撃者たち　代わりに用いられる手法とは？
• “地味に嫌な”サイバー攻撃の手口が流行の兆し　まずは知ることから始めよう

SIMスワップやサポート詐欺　個人を狙った巧妙化する攻撃

　ランサムウェア以外にも、個人を標的にしたものでは注目すべき攻撃が幾つかありました。一つは「SIMスワップ」でしょう。SIMスワップは携帯電話に差し込まれたSIMを不正に交換する・奪うことで本人になりすます手口です。

　SIMスワップは海外で主に使われていましたが、2022年には日本にも“上陸”し、2023年には警視庁によって摘発される事例が初めて発生しました。日本ではSIMを奪うのではなく、偽造した免許証で本人になりすまし、SIMカードを再発行する手法が使われています。確実な対策がないことから今後この攻撃が増加する可能性もあるためID／パスワードの管理などできることからしっかりと対策を講じることが求められます。

関連記事

• 日本でも初摘発された“SIMスワップ”　確実な防御策がない中でも“できること”
• SIMスワップで組織内部に侵入　Lapsus$の手口と攻撃を緩和する10の方法
• Microsoftが「最も危険な金融犯罪グループ」と評するScattered Spider　その実態は？

　この他、フィッシングについてもこれまで以上に注意する必要があります。金融ISACによると、2023年は不正送金額が1〜6月の上半期だけで過去最多を記録しており、被害額としては約30億円に上っています。

　電子メールでのフィッシング、そしてSMSを利用したフィッシングである「スミッシング」、偽の警告画面などから電話やチャットを介して情報を窃取する「サポート詐欺」など手口が高度化、巧妙化しており、自信を持って「引っ掛からない」と言える人は非常に少なくなっているのではないでしょうか。

　ここまで攻撃が巧妙化した今、“フィッシングを見分ける”という行為自体がナンセンスになってきているでしょう。金融機関やサービス事業者は最近、金銭に直接関わる重要な内容は電子メールを介さず、アプリなどから連絡するケースも増えています。電子メール経由で緊急の対応を促すものは全て無視するくらいがちょうどいいのかもしれません。

関連記事

• 今どきのフィッシングは「レベルが違う」　私たちが引っ掛からないためにできること
• 「SMSは40年前の時代遅れの技術」　Googleがセキュリティを問題視
• サポート詐欺を“疑似体験”してみよう　IPAが作ったWebサイトの再現度が高すぎる
• フィッシングにまみれてしまった「メール」の今後を考える
• 徳丸 浩氏が“独断と偏見”で選ぶ　2023年気になった事件と2024年脅威予測

　セキュリティベンダー各社が報告している2024年の予測を見る限り、サイバー攻撃はとどまることを知らず、生成AI（人工知能）などの発展から激化する可能性もあるようです。年末年始は日々の疲れをいやし、新年からは気を引き締めて対策を進めていきましょう。それでは良いお年を。