このようなサーバ乗っ取り型攻撃の増加は、激動する国際情勢と関連付けることもできる。アカマイでは、親ロシアの方針を掲げたランサムウェアグループ「Conti」から流出した内部情報の分析を試みた。その結果、彼らが標的とする組織の内部への侵入の足掛かりをつくるために、Webアプリケーションへの攻撃を標準的な手順に組み込んでいた事実を改めて確認できた。
分析によると、彼らはまずインターネットからアクセスできるWebアプリケーションの脆弱性をツールでスキャンする。結果を基に有効な攻撃をサーバに仕掛け、サイトの管理者や従業員の認証情報を収集。ログインできるアカウントを見つけ、サーバを自由に操作できるよう権限の昇格を試みるという。具体的には次のような手順がグループ内で共有されていた。
一連の手口は攻撃手法としては既知であり、特別なものではない。だが、落とし穴は防御する側のアタックサーフェス(攻撃対象となる領域)の認識に潜んでいる。
攻撃の対象になるのは、これまで顧客の個人情報保護のため優先して対策が取られてきた、ECなどの一般顧客向けのB2Cサービスやアプリだけではない。ランサムウェアによる組織内への侵入と破壊的な活動という最終目的にたどり着くには、むしろB2Bサービスやアプリの方が都合が良いかもしれない。
例えばOWA(Outlookサーバ)のような業務系システムや、Webベースの分析、受発注システムなど、クラウド化されたビジネス向けのWebサービスを狙うと考えるのが自然だろう。いずれも、従業員・取引先をはじめとしたサプライチェーンの情報が蓄積されているはずだ。
現に国内では、21年にWebベースのファイル共有サーバ「FileZen」への攻撃で内閣府の職員のアカウント情報などが窃取された。他にもプロジェクト情報共有ツール「ProjetWEB」を利用していた経産省、NISCをはじめ、国交省、外務省などの情報が流出した可能性が明らかになっている。残念ながら、これらの業務系のWebアプリケーションが高度なセキュリティに投資する水準は、B2Cサービスに比べてまだまだ低いのが実態だ。
アジア情勢においても、ペロシ米下院議長の台湾訪問後に台湾政府機関へのDDoSが観測された。当事国はもちろん、周辺国のサイバーセキュリティの責任者にも、ロシアのウクライナ侵攻という前例を踏まえた備えが求められる。必要なのは「宣戦布告のない戦争」が常態化した世界を前提にして、これまでの戦争と「静かに、しかし着実に始まっているハイブリッド戦」との違いを理解することだ。
報道においても、単なるサイバー攻撃による報復と断じるのではなく「認知戦」で世論を操作する意図が隠れている可能性を踏まえ、冷静な受け止めが必要だろう。
日本政府は、中国やロシアからのサイバー攻撃の増加を念頭に、防衛産業の機密漏えい対策を後押しする方針のようだ。通信システムにサイバーセキュリティ対策をした防衛関連企業への税制優遇を検討することが報じられている。2023年度予算の概算要求や与党税制改正大綱に反映し、23年の通常国会へ関連法案の提出を目指すという。
しかし、繰り返しになるが実際攻撃の対象になっているのは、防衛関連の組織や企業だけではない。ウクライナ侵攻との因果は立証できないものの、日本でも防衛関連以外の重要インフラ事業者へのDDoSの試行や、製造業のサプライチェーンを破壊するランサムウェアなどの動きが目立ってきている。ウクライナ戦の混乱に便乗した、第三国からの攻撃の可能性も考えておくべきだろう。
東欧のシリコンバレーともいわれたウクライナでは、ロシアによる侵攻の何年も前から国家を相手にしたサイバー攻撃に対抗する準備を進めてきたという。一方で、緊迫感を増す東アジア情勢を前に、われわれは十分準備できているだろうか。
漠然と膨らむ不安を暴走に変えないためにも、まだ目に見えていない攻撃や、攻撃の変化に目を凝らし、事業継続にそれらが与える影響と社会の混乱を抑止していくためのサイバー戦略の見直しが急務ではないだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR