2021年の振り返りと2022年の国内のサイバー脅威予測

昨年まで猛威をふるっていたばらまき型のEmotetがEuropolと各国の法執行機関の協力によってテイクダウンされる、という明るいニュースから2021年は始まりました。しかし、メールに添付された悪意のあるファイルなどを開いてしまった被害者の端末に他のマルウェアをインストールするEmotetが世界中から一掃されたことでサイバー攻撃の被害が大きく減少することが期待されたにもかかわらず、2021年はこれまで以上にサイバー攻撃、特にサイバー犯罪によって社会に大きな被害が出た年となってしまいました。本稿ではランサムウェア、フィッシング、脆弱性とスキャニングの3点から本年を振り返り、2022年のサイバー脅威が与える変化について予測します。

ランサムウェア

警察庁が今年上半期だけで61件のランサムウェア被害報告があったと発表しています。昨年の下半期が21件であったことから昨年以上にランサムウェアの活動が活発になっていることがわかります。件数の増加だけでなくランサムウェアの身代金も高額化の一途をたどっています。表1は昨年と本年の身代金に関して比較したものです（2020年のデータは「ランサムウェア脅威レポート」から抜粋、2021年のデータはUnit 42による集計の速報値）。

表1 ランサムウェア身代金の推移

攻撃者は高額な身代金を得るため、可能な限り深刻なダメージを被害組織に与えるようにします。その結果、2021年は大きな2つのインシデントが発生しています。

一つ目は5月に米国で発生したパイプライン企業への攻撃です。これは DarkSideランサムウェアが利用されており、ガソリンやジェット燃料の供給に一時的に支障が出ました。サイバー攻撃が被害組織だけでなく、我々の社会生活にまで大きな影響与えることが改めて認識されました。

もう一つは7月に発生したリモート監視・管理ソフトウェアの脆弱性を悪用した攻撃です。攻撃者は複数のマネージドサービスプロバイダー(MSP)にこの脆弱性を悪用して侵入し、MSPの顧客である1,500ほどの組織に対してREvilランサムウェアを感染させています。サプライチェーンリスク対策の難しさが浮き彫りになった事例と言えます。

DarkSideもREvilもランサムウェアをサービスとして提供するRaaS(Ransomware as a Service)です。こうしたプラットフォームの運用者はサービスの提供のみを行なっており、被害企業を直接攻撃するアフィリエイトは別と考えられています。アフィリエイトが利用できるのはマルウェアの開発者やプラットフォーマーの他にも、身代金として受け取った仮想通貨を追跡できないようにするミキサーと呼ばれるサービスなどもあります。サイバー犯罪によって巨額の収益があげられることが実証されてしまっているため、匿名性の高いダークウェブ上に構築されたサイバー攻撃に関わるエコシステムは今後も拡大・洗練されていく可能性が高いと考えられます。

フィッシング

サイバー犯罪者は新型コロナウイルスにまつわる動向を注意深く観察してタイミングを見極めてフィッシングの成功率を高めようとしています。弊社の調査では、在宅勤務の増加に伴いフィッシング活動が活発化していることがわかっています。コロナ以前は出社して企業ネットワーク内で仕事をしていた人々が、十分なセキュリティ施策がないまま在宅で仕事をするようになった状況を狙ったものと考えられます。

また、フィッシングに利用されるトピックでは、ワクチンや検査、薬といったコロナウイルス関連のトピックは2021年に入っても増加していることがわかっています。さらに、世界的に感染者数が大きく減った2021年6月には移動制限が緩和されるという期待があったため、旅行をテーマにしたフィッシングが増加していることもわかっています。

国内においても、2021年8月若者向けの予約不要な新型コロナウイルスワクチン接種会場が東京渋谷にオープンした際、接種を希望する人たちの長蛇の列に関する報道が大きく出た前後から図1のような「自衛隊大規模接種センター」を騙るメールが大量に送付されていました。

これまで多くのフィッシングを行う犯罪者は人の興味を引くトピックを選定し、利用するタイミングを図ることで攻撃の成功率を高めようとしてきました。ソーシャルエンジニアリングのテクニックだけでなく、検出から逃れるための技術導入も進んでいます。フィッシングサイトを検出するセキュリティクローラーから逃れるため、CAPTCHAを利用してクローラーからフィッシングコンテンツを保護し、訪問した人間だけを騙すキャンペーンの増加が確認されています。今後も技術的な進化が進めば、既存の対策や知識だけでは回避できないフィッシング攻撃が今後増加することが考えられます。

脆弱性とスキャニング

米国NISTのNational Vulnerabiltiy Databaseによれば、2021年に新しく発見された脆弱性に割り当てられたCVEの数は2021年11月25日で17,971となっています。このペースでは昨年のCVEの18351を超えると考えられます（図2）。新しい脆弱性が公表された場合、脆弱性が自社に与える影響を評価し、パッチ管理や回避策の実施を行うといった脆弱性対策は非常に重要です。しかし、平均して１日50以上の新しい脆弱性が公表されている現在、量の観点だけから考えても一般的な組織で対策を完璧にこなすことは難しくなってきていると言えます。

米国CISA(Cybersecurity & Infrastructure Security Agency)は、2021年11月に米国政府機関が対策すべき脆弱性のリストを公表しました。本稿執筆時点で291の脆弱性がリストアップされていますが、最も古いもので2010年の脆弱性がリストに含まれています。政府機関に10年以上前の古い脆弱性が残っていないか改めて確認を促していることが、現在の脆弱性対策の困難さの一例と言えます。

脆弱性対策の困難さに加え急速に拡大するクラウドやIoTの採用によって、適切なセキュリティ対策が行われていない多数の脆弱なシステムがインターネット上で発見できます。弊社が2021年に行った、Fortune
2000企業を対象とするインターネット上で公開されている攻撃を受ける対象に関する調査レポートでは、79%の脆弱なシステムがクラウド上にあることが判明しています。また、ビル管理システムなど本来不特定多数の人がアクセスできるべきでないシステムも多く見つかっています。

現在のアルゴリズムでは43億あるすべてのIPv4アドレスのスキャンが45分で完了するため、攻撃者は常にインターネット上で脆弱なシステムがないかスキャンを続けています。特に新しい脆弱性が発見された場合、スキャン活動は活発になります。最近発見されたパスワード管理およびシングルサインオンソリューションの脆弱性を悪用した標的型攻撃では、攻撃前の2021年9月17日から10月初旬にかけて無差別なスキャンを行なわれていました。スキャンの結果を得た攻撃者は防衛やエネルギー企業など少なくとも9つの組織を侵害しており、脆弱性の悪用から設置したWebシェル型のバックドアへのアクセスで侵入が完了するまでわずか4分強だったこともわかっています。

2022年の予測 - セキュリティ人材獲得が一層困難に

現在のサイバー攻撃の多くは金銭を目的としたサイバー犯罪です。ランサムウェアやビジネスメール詐欺などのように被害者から直接金銭を得る実行犯だけでなく、サイバー攻撃のためのインフラやツール、サービスを提供する幇助犯であっても多額の収益が得られるようになっています。そのため今後も直接・間接問わずサイバー攻撃に関わる人が増え、サイバー犯罪が今後一層社会全体の大きな課題となることが予想されます。

そうした現状を打開するため、各国政府によるサイバー攻撃に関する取り締まりが近年強化されてきました。最近のいくつかの事例を以下に示します。

• Clopランサムウェアのメンバーを逮捕（ウクライナ警察）
• ビジネスメール詐欺やフィッシングに関与で106人逮捕（Europol)
• REvilアフィリエイトを逮捕（Europol）
• Darksideランサムウェア首謀者の情報に懸賞金（米国国務省）
• ランサムウェアオペレーターと仮想通貨交換ネットワークへの制裁（米国財務省）

米国は法執行機関だけでなく財務省なども含めた政府全体で取り組みを行なっています。こうした政府をあげてのサイバー攻撃に対する取り組みは今後世界各国に波及すると考えられます。その際、大きな課題となるのがセキュリティ人材不足です。専門性が高い新しい取り組みに必要な人手が十分な組織ばかりでないため、世界中の政府をはじめとする公的機関を巻き込んでのサイバーセキュリティ人材の獲得が激しくなることが予想されます。他国と比べ日本のセキュリティ人材不足は際立っているため、これまで以上にセキュリティ人材の獲得が困難になってくると考えられます。

金銭を目的とする犯罪者の多くは簡単に侵入できる組織をターゲットとするため、民間企業は今後も自衛のためにセキュリティを維持・強化していく必要があります。しかし、セキュリティ人材が不足している組織は繰り返し被害にあうことも考えられ、セキュリティ人材の確保と育成が企業の死活問題につながってくることも考えられます。