なぜ脅威アクターは重要インフラを標的にするのか？ 金銭だけではないそのワケ：Cybersecurity Dive

BlackBerryの調査によると、2023年9〜12月までの間に追跡された全業界のサイバー攻撃のうち、重要インフラプロバイダーが標的となったものは62％だった。なぜ重要インフラプロバイダーは標的になりやすいのか。

[David Jones，Cybersecurity Dive]

　セキュリティ事業を営むBlackBerryが2024年3月14日（現地時間）に発表した報告書によると（注1）、2023年9〜12月までの間に追跡された全業界のサイバー攻撃のうち、（電力やガス、鉄道、空港などの）重要インフラプロバイダーが標的となったものは62％だったという。

なぜ脅威アクターは重要インフラを狙うのか？　背景にある合理的な理由

　この報告書は、新種のマルウェアの使用が27％増加したことや、攻撃者が従来の防御を回避するために積極的な取り組みを実行していたことに言及している。BlackBerryによると、この期間中、1日当たり5300以上のユニークなマルウェアサンプルが同社の顧客を標的にしていたという。重要インフラプロバイダーが狙われやすい理由とともに、攻撃の実態を確認してみてほしい。

　脅威グループは、「Citrix NetScaler Application Delivery Controller」（注2）や「Cisco Adaptive Security Appliance Software」、JetBrainsの「TeamCity」など（注3）、さまざまな製品の重大な脆弱（ぜいじゃく）性を悪用し、標的組織への侵入を試みる傾向を強めている。同報告書は「VPNアプライアンスは、国家とつながりのある攻撃者にとって非常に魅力的な標的であり続ける」と指摘している。

　BlackBerryの報告書は、米国をはじめとする世界各地で、重要インフラプロバイダーに対する脅威が高まっているときに発表された。米国は近年、ロシアのウクライナ侵攻やアジア太平洋地域における緊張の高まりに関連する脅威の増大に直面している。

　米国当局は2024年1月に（注4）、中国の支援を受ける脅威アクター「Volt Typhoon」に関連する重要インフラプロバイダーへの脅威が増加していると警告した。Volt Typhoonは、アジア太平洋地域での潜在的な軍事行動から米国の気をそらすために、米国本土で大規模なパニックを発生させようとしており、米国の主要なインフラプロバイダーを標的としている。

　BlackBerryのイスマエル・バレンスエラ氏（脅威リサーチとインテリジェンスを担当するバイスプレジデント）は、電子メールで次のように述べた。

　「経済的な動機を持つ攻撃者であろうと、国家レベルの攻撃者であろうと、攻撃の最終目標は混乱を引き起こすことだ。重要なインフラが長期間停止することは許されない。そのためこの業界の組織は、攻撃を受けると身代金を速やかに支払う可能性が高い」

　BlackBerryの報告書は、脆弱なVPNデバイスを悪用して重要産業にアクセスする攻撃が増加していると指摘している。同社の研究者は「PrivateLoader」「RisePro」「SmokeLoader」「PikaBot」など特定のマルウェアファミリーの使用が増加していることも確認している。

（注1）Global Threat Intelligence Report（BlackBerry）
（注2）CitrixBleed sparks race to patch, hunt for malicious activity（Cybersecurity Dive）
（注3）Critical flaw in JetBrains TeamCity exploited weeks after patch issued（Cybersecurity Dive）
（注4）CISA, FBI confirm critical infrastructure intrusions by China-linked hackers（Cybersecurity Dive）