2023年はランサムウェアの1年だった 編集部が選ぶ主要セキュリティトピック:編集部コラム
読者の皆さんは2023年、サイバー攻撃の被害に遭わず無事に過ごせたでしょうか。年の瀬ということで「ITmedia エンタープライズ」編集部が印象的だったセキュリティトピックを振り返ります。
2023年もそろそろ終わりを迎えようとしています。読者の皆さんはサイバー攻撃の被害に遭わず無事に1年を過ごせたでしょうか。
本年も非常に多くのセキュリティトピックが話題になりましたが、本記事では「ITmedia エンタープライズ」編集部が選んだ特に印象的なトピックを振り返ろうと思います。
やはり2023年はランサムウェアの1年だった
まずは何といってもランサムウェア関連の事件は振り返らないわけにはいきません。ランサムウェア攻撃が激化している中、数多くの企業が被害を公表しました。国内で特に話題になったのは「名古屋港統一ターミナルシステム」(NUTS)を襲ったランサムウェア被害でしょう。
復旧にかかった時間自体は約3日と非常にスピーディーでしたが、日本の重要インフラを狙ったサイバー攻撃ということで大きな話題になりました。
また、本年は国内外でファイル転送サービスを狙ったランサムウェア攻撃が激しさを増した1年だったと思います。国内ではプロットが提供しているファイル転送サービス「Smooth File」が被害に遭い、多くのユーザー企業がサービスのアクセス障害の影響を受けました。
国外ではProgress Softwareの「MOVEit Transfer」のゼロデイ脆弱(ぜいじゃく)性を悪用したランサムウェア攻撃に始まり、Fortraの「GoAnywhere」やIBMの「Aspera Faspex」など複数のファイル転送サービスがサイバー攻撃を受けました。ファイル転送サービスは重要情報が集まる場所であることから、サイバー攻撃者の標的になりやすいのかもしれません。
もう一つ、国外で大変注目を集めたのが2023年9月に発生したOktaのインシデントでしょう。Oktaのカスタマーサポート管理システムがランサムウェアグループによってサイバー攻撃を受け、全てのOktaのカスタマーサポートシステムのユーザー名と電子メールアドレスが漏えいしました。
サイバー攻撃者は窃取した情報を使って、カジノやホテル業界大手企業のMGM Resorts、Caesars Entertainmentなどにソーシャルエンジニアリング攻撃を仕掛け、さらなる大規模な情報漏えいにつながりました。
一連のサイバー攻撃は米国企業を中心に大きな被害を生みましたが、こうした攻撃は今後も発生する可能性があることから、日本企業も決して無関係とはいえません。ソフトウェアサプライチェーン攻撃対策は企業が取り組むべき喫緊の課題だとあらためて認識してほしいと思います。
ランサムウェア攻撃の新たなトレンドとしては、「ノーウェアランサム」という手法も出現しました。ノーウェアランサムとは警察庁のレポート「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」で触れられており、「暗号化」を介さず、ランサムウェアによって窃取した情報をそのまま身代金支払いの交渉に利用する手口です。レポートによると、判明しているだけでも2023年にこの手口を使った攻撃が6件確認されています。
ただ、新手の攻撃手法とはいえ基本的に企業側でやることはあまり変わりません。電子メールやVPNなどの侵入の入り口をしっかりと防ぎ、万が一侵入を許した場合に備えてEDR(Endpoint Detection and Response)製品などで十分に検知できる仕組みを整えましょう。
SIMスワップやサポート詐欺 個人を狙った巧妙化する攻撃
ランサムウェア以外にも、個人を標的にしたものでは注目すべき攻撃が幾つかありました。一つは「SIMスワップ」でしょう。SIMスワップは携帯電話に差し込まれたSIMを不正に交換する・奪うことで本人になりすます手口です。
SIMスワップは海外で主に使われていましたが、2022年には日本にも“上陸”し、2023年には警視庁によって摘発される事例が初めて発生しました。日本ではSIMを奪うのではなく、偽造した免許証で本人になりすまし、SIMカードを再発行する手法が使われています。確実な対策がないことから今後この攻撃が増加する可能性もあるためID/パスワードの管理などできることからしっかりと対策を講じることが求められます。
この他、フィッシングについてもこれまで以上に注意する必要があります。金融ISACによると、2023年は不正送金額が1〜6月の上半期だけで過去最多を記録しており、被害額としては約30億円に上っています。
電子メールでのフィッシング、そしてSMSを利用したフィッシングである「スミッシング」、偽の警告画面などから電話やチャットを介して情報を窃取する「サポート詐欺」など手口が高度化、巧妙化しており、自信を持って「引っ掛からない」と言える人は非常に少なくなっているのではないでしょうか。
ここまで攻撃が巧妙化した今、“フィッシングを見分ける”という行為自体がナンセンスになってきているでしょう。金融機関やサービス事業者は最近、金銭に直接関わる重要な内容は電子メールを介さず、アプリなどから連絡するケースも増えています。電子メール経由で緊急の対応を促すものは全て無視するくらいがちょうどいいのかもしれません。
セキュリティベンダー各社が報告している2024年の予測を見る限り、サイバー攻撃はとどまることを知らず、生成AI(人工知能)などの発展から激化する可能性もあるようです。年末年始は日々の疲れをいやし、新年からは気を引き締めて対策を進めていきましょう。それでは良いお年を。
関連記事
- 徳丸 浩氏に聞いてみた 「なぜサイバーセキュリティ人材は足りないの?」
サイバーセキュリティ人材はなぜ不足しているのか。企業は素養がある人材をどのように見極めて、獲得に向けて何をすればいいのか。徳丸 浩氏がこの難問に答えた。 - 日本でも初摘発された“SIMスワップ” 確実な防御策がない中でも“できること”
このコラムでも以前紹介していたサイバー攻撃手法“SIMスワップ”が日本で初めて摘発されました。これから本格化する可能性があるこの犯罪を改めて学び直しつつ、有効な防御策を考えていきましょう。 - 「Smooth File」のランサムウェア被害の原因判明 VPN機器の脆弱性を悪用か
プロットは同社のクラウドサービスがランサムウェア被害に遭った件について、現時点でランサムウェアの侵入経路はVPN機器の脆弱性を悪用した可能性が高いと判断した。 - 徳丸 浩氏が“独断と偏見”で選ぶ 2023年気になった事件と2024年脅威予測
2023年は多くのサイバー攻撃が発生したが、この中で徳丸 浩氏が注目したものは何だったのだろうか。2023年のセキュリティトレンドを振り返りつつ、2024年の脅威予測をお伝えしよう。
Copyright © ITmedia, Inc. All Rights Reserved.