セミナーレポート
サイバーセキュリティセミナー2022春
～サイバー攻撃に冷静に対応するために
必要な視点とは～

※本記事は2022年4月27日（水）に開催したサイバーセキュリティ2022春のセミナーレポートです。

昨今、IT サービスの多様化、地政学リスクなどに起因して様々なサイバー攻撃記事を目にするようになりました。また、政府は基本的な対策や組織内での情報共有などを注意喚起しています。

本記事では、Emotet やランサムウェア等に起因する直近のサイバーインシデントをご紹介しながら、個人・組織において気を付けておきたいセキュリティの考え方を解説します。

---

最近のサイバー攻撃の動向

サイバー攻撃を行う目的としては、「愉快犯」や「金銭目的」のほかに、政治的主張を目的としたデータの改ざんを行う「主義主張」、標的型の攻撃を行う「国家間の争い」などがあります。最近では、ロシア－ウクライナ間に代表されるような国家間の紛争が注目されていますが、全体的には、企業や組織の機密情報を狙い金銭を要求する事例が増加しています。

また、「Emotet（エモテット）」や「2重恐喝型ランサムウェア」などをつかった深刻な被害が発生する事例が増えており、2022年においてもすでに様々なインシデントが国内外で発生しています。国内では令和3年（2021年）に検挙数が12,000件を超えており、このうちランサムウェアの被害も認知されている件数として146件、報告※1されています。

海外では、2021年の報告数※2が84万件超、被害額が約69億ドル（2020年約42億ドル）に上ると報告されており、金銭狙いの犯罪が急増していることが確認できます。

一方でここ10年間のIPAが公開するセキュリティ10大脅威※3の項目を比較すると、攻撃手口の巧妙化など攻撃の内容の変化は見られますが、備えるべき脅威自体はほとんど変わっていません。今、脅威の動向を見据えて自組織における対策状況を見直すことが大切であることがわかります。

※1　警察庁「令和３年におけるサイバー空間をめぐる脅威の情勢等について（速報版）」
※2　FBI(米連邦捜査局)「Internet Crime Report 2021」
※3　情報セキュリティ10大脅威 2022

---

近年のサイバー攻撃の手口と特徴

「Emotet」は、不正メールを用いてマルウェアを感染させる攻撃で、不正メールに添付または本文内にあるURLから入手したファイルを実行することでEmotet本体がダウンロードされて感染します。海外で2014年から広まり、日本では2019年に存在が確認されました。2021年1月にEUROPOLのテイクダウン活動により攻撃活動が停止していましたが、2021年11月に活動が再開、2022年2月には再びIPA※4、JPCERT/CC※5などが注意喚起をしています。

Emotetに感染後、C2サーバに接続し、攻撃者により他のマルウェアに感染させられるなど様々な操作が行われます。また、Emotetの注意すべき点としては感染した端末からメール関連の情報が盗まれ、新たに感染端末を増やすための攻撃メールに悪用される点です。関係者を装った攻撃メールは一目では気づかない場合があるため、特に注意が必要です。一部の調査結果※6では、Emotetのメール送信に悪用されたドメインの約44％が「JP」で、「COM」の約33％を上回っているという情報もあります。2022年2月以降に入ってから、国内企業によるEmotet関連の被害に関するリリースが560件以上を公開されており、業種を問わず被害を受ける企業が拡大しています。

また、Emotetの攻撃も攻撃手口などが変化しており、不正メールに添付されるファイルに新たにWindowsのショートカットを用いた攻撃が確認されたり、Emotet本体の改良なども行われたりするなど、攻撃型と対策型の攻防が続いています。

Emotetの攻撃へ対応していくためには、まずは攻撃が発生していることを把握することが大切です。Emotetの感染を狙ったメールを受信したなど、事案が発生した場合には、自組織内に「発生したことを組織内に周知」し、不正メールの開封の有無など「事実関係を把握」すること、そして、感染が疑われるようであればJPCERT/CCが公開するEmoCheckなどで感染の有無のチェックを行い対応していきましょう。もしEmotetへの感染を確認した場合は、他のマルウェアへの感染も懸念されることから専門機関に相談するなど速やかに対策を行いましょう。

続いてランサムウェアの事案についてです。ランサムウェアは実行した機器内のファイルを強制的に暗号化し、暗号を解除する見返りとして金銭を要求するマルウェアです。現在では、暗号解除の見返りだけでなく、暗号化したファイルを窃取した上で、それを公開しないための対価として金銭を要求する「2重恐喝型ランサムウェア」の攻撃手口が主流となっています。2022年以降でも国内で様々な業種・業態の企業が被害を受けています。

特に2重恐喝型ランサムウェア攻撃は攻撃者側の行動もエスカレートしており、要求金額に目を向けると、2021年の要求金額の平均が220万ドル※7を超えており、2020年と比べても倍以上になるなど脅威が高まっています。
実際に2重恐喝型ランサムウェアの被害を受けた場合、どのような事態が発生するのか過去の事例をもとに確認していきます。

まずは、2020年11月にゲーム開発会社が被害を受けた攻撃事例です。本事例では、第三者からの不正アクセスにより社内システムの一部に障害が発生し、元従業員や取引先など約39万人の情報が漏えいするなどの被害が発生しました。本事案の攻撃の起点となったのは、古いVPN機器で、コロナ禍によるリモートワークの需要拡大に伴い、急遽設置したVPN機器に脆弱性が存在していたことが原因で被害を受けた事案でした。

また、2022年1月に公表されたITサービス提供会社への攻撃事例で は、アカウント管理用の公開Webサービスの脆弱性を悪用され、攻撃者に侵入されました。報告書によると侵入は2021年10月から行われており、被害が発生するまで2021年12月末までの約3ヶ月潜伏されて最終的にランサムウェアの感染に至ったようです。

過去発生したインシデント事例に関して被害を受けた組織が積極的に公開してくれている情報には他組織において対策に転換可能な様々な学びのポイントがあります。今回ご紹介した事例では以下の学びのポイントがあったと考えられます。

①暫定機器の運用など暫定対応の見直し
機器やサービスの運用前にリスクを確認し、使用可否の判断を適切に行い暫定対策だからといってセキュリティリスクを見逃さない

②外部公開サーバやサービスの脆弱性管理
公開サーバ/サービスなどは攻撃対象になりやすいことから、資産管理を適切におこない、使用する製品機器・サービスを洗いだし脆弱性にあらかじめ対処しておく

③外部サービスへのアクセスの制御
アクセス元を制限することが可能か、設定するアカウントの権限管理は適切かなど外部に公開するサービスのアクセス制御を適切に行う

このように過去、他組織が経験したインシデント事例からの学びのポイントを自組織の立場に置き換え、対策に有効活用していきましょう。
なお、ランサムウェアからの復旧コストとしては、収益の損失が約３４億円、復旧に向けた軽減策の導入費用が約７億円かかったという事例※8もあります。金額的に見ても企業として経済的打撃が甚大であることから、サイバー攻撃は経営問題として捉え対応すべき事案であることを認識してサイバー攻撃への対策を検討していく必要があると考えられます。

※4　情報処理推進機構
※5　一般社団法人JPCERTコーディネーションセンター
※6　TG SOFT(Twitter)より　
※7　Palo Alto Networksより
※8　Atento社　2021年度通期及び第4四半期決算報告より

---

サイバー攻撃への対応ポイントと事前対策

Emotetや2重恐喝型ランサムウェアなど様々なサイバー攻撃が日本国内でも発生しています。攻撃者の攻撃手口や手法は変化していくため新しい対策技術やサービスを導入して対応してくことも必要です。しかし、ただ闇雲に新しい対策技術やサービスの導入などを行うだけでは効果的な対策は望めません。新しい対策技術やサービスは基本的なセキュリティ対策が徹底できているからこそ効果を発揮します。そのためまずは基本的なセキュリティ対策が適切に運用できているか確認することが大切です。

▶OS、ソフトウエアのアップデート
　組織内で使用する機器や製品・サービスを洗い出し管理する
▶ウイルス対策ソフトウエアの導入・運用
　導入後の運用が適切に管理されているかを確認し、有事の際の連絡窓口を明確にする
▶アカウント管理の強化
　パスワードの管理方法の改善など、侵入を最小限に抑える努力を行う

また、インシデント発生時に備えて連絡体制図やネットワーク構成図、運用管理体制などの見直しなどインシデント発生前にできる事前準備をしっかり行っておくことも重要です。インシデント発生時にありがちな事例として連絡体制図やネットワーク構成図が古くて機能しなかったケースやセキュリティ対策製品を導入していても運用者が明確になっておらず検知していることに気づかないケースなど様々な失敗事例があります。そういった事態に陥らないようしっかりと準備をしていきましょう。

---

情報セキュリティ対策で何よりも大切な事前準備

繰り返しになりますが、情報セキュリティ対策としては何よりも事前の準備が大切です。連絡体制図の作成やログの取得・保存の確認など、平時にしかできないことはたくさんあります。

インシデント時に落ち着いて会話できるように、インシデント発生前に部署のキーパーソンを把握しておくなど組織内コミュニケーションを確認しておきましょう。

また、サイバー攻撃の動向など情報を把握・収集しておくことも大切です。いずれも、特別に難しいことではありませんので、日頃から個人や部署レベルで心がけておくことが安心につながります。

2022.04.27