セミナーレポート
サイバーセキュリティセミナー2024
～最近のサイバーセキュリティ事情と
OSINT（公開情報収集・分析）を活用した
リスク把握のポイント解説～

※本記事は2024年3月13日（水）に開催したサイバーセキュリティ2024のセミナーレポートです。

本記事では、最近のサイバーセキュリティ事情に加え、脅威動向を踏まえた公開情報を活用した収集・分析手法であるOSINT（オープンソースインテリジェンス）による自社リスクを把握するためのポイントについて解説します。

---

最近のサイバー攻撃の動向

サイバー攻撃は、攻撃者の目的に応じて分類されて説明されます。特定の地域の国家機関に由来するような標的型攻撃や、金銭を目的とした犯罪組織、政治的、社会的な主張を行うハクティビスト、自己主張などを目的とした愉快犯、個人的な理由などによる内部犯行など、様々な目的の下、サイバー攻撃が行われています。

最近の日本国内におけるサイバー攻撃の被害動向に目を向けてみます。警察庁が公開した「令和5年上半期におけるサイバー空間をめぐる脅威の情勢」によると、ウクライナとロシアの情勢悪化に端を発したハクティビストや新ロシア派のハッカー集団によるサービス妨害攻撃、クレジットカードの不正利用額の増加、ランサムウェアの被害件数の増加などが挙げられています。

日本でも被害が多く発生しているランサムウェアの被害動向についても言及されており、令和5年上半期においては103件の報告があったとされています。令和4年が230件であった点を踏まえると、同じ水準で被害が発生していると考えられます。また、ランサムウェアの感染経路では、VPN経由の侵入が71％、リモートデスクトップ経由の侵入が10％と、被害を受けた組織の約80％がリモートアクセス経由で侵入されています。組織のネットワークの入り口を攻撃者が狙ってきているという点がこの結果からも分かります。

参考：
令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について｜警察庁
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R05_kami_cyber_jousei.pdf

続いて、サイバー攻撃の被害金額について目を向けてみたいと思います。トレンドマイクロ社が公開する「サイバー攻撃による法人組織の被害状況調査」によると、過去3年間のサイバー攻撃の累積被害額は、平均で約1億2,528万円であったとされています。ここでいう被害額には、不正送金や身代金支払い、業務停止期間の売上などの攻撃によってもたらせる直接コスト、攻撃を受けてからの調査、封じ込めなどの対応、システム復旧などに必要な復旧コスト、攻撃を受けた後の攻撃の再発防止や被害低減に向けた様々な施策、活動防止などの中長期コストが含まれています。また、最も対応コストが大きかったサイバー攻撃からの復旧に要した時間は、国内拠点では平均で4.5日、海外拠点では平均7日かかったとされています。なお、ランサムウェアの場合、国内拠点では平均13日、海外拠点では平均15.1日と、海外拠点のほうが復旧に時間がかかるという傾向が見えてきているそうです。

海外拠点におけるセキュリティリスクの問題は、国内のグローバル企業の多くが抱えており、セキュリティ対策が行き届かない、セキュリティガバナンスが浸透しにくいなどの理由により、海外拠点はサプライチェーン上の弱点になりやすくなっている傾向が本調査結果からも伺えます。

参考：
サイバー攻撃による法人組織の被害状況調査｜トレンドマイクロ株式会社
https://www.trendmicro.com/ja_jp/about/press-release/2023/pr-20231101-01.html

---

サイバー攻撃の被害事例

不正アクセスは、日本国内の様々な組織で業種・業態を問わず発生しており、身近な脅威の一つであると考えています。不正アクセスとは、本来は利用権限のない人が他人のIDとパスワードを許可なく使用したり、脆弱性を悪用して認証自体を回避したりする行為の事です。不正アクセスの手口としては、漏えいデータの悪用や、よく使われるパスワードを用いてアクセスを試みる辞書攻撃、アカウント情報の窃取を目的として行うフィッシング詐欺などの攻撃手口があります。

不正アクセスを起因としたインシデントとしては、政府組織が導入する電子メール管理システムの脆弱性を悪用し侵入された事例や、日本国内でも多くのユーザーが使用するチャットサービスにおいて、外部委託先の作業者の端末がマルウェアに感染した事で侵入を受け、最終的にチャットサービスの利用者の情報や、取引先情報、従業員の個人データが漏えいするなど、様々な事例が発生しています。

不正アクセスを行うために攻撃者はサービス利用者のアカウント情報の窃取を試みてきます。アカウント情報を窃取する方法として、新たに「AiTM（Adversary in The Middle）」という手口が確認されています。

「AiTM」を用いた攻撃では、攻撃者はリバースプロキシ型のサービスを構築して利用者を誘導し、利用者とサービス提供者の間に入り込み、利用者が入力する情報（IDやパスワード、セッション情報など）を全て盗み見ます。この手法を悪用した攻撃は現在のところ一部サービスを狙った攻撃のみ確認されていますが、今後、悪用範囲が拡大される恐れもある事から注意が必要である攻撃手口の一つであると考えています。

ランサムウェアは、コンピュータシステムやネットワークに浸入し、データを暗号化して使用不能にした後、そのデータを復元するための対価として金銭を要求するマルウェアの一種です。最近では、二重恐喝型ランサムウェア攻撃（侵入型ランサムウェア攻撃）が主流となってきており、企業や組織の内部ネットワークに攻撃者が侵入し、情報窃取を行い、最終的にランサムウェアを用いたファイルの暗号化などを行います。

なお、二重恐喝型ランサムウェア攻撃は、2種類あると言われています。一つは、システム内のファイルを暗号化し、復号の対価として金銭を要求するとともに、窃取したファイルを公開しないための金銭を要求する攻撃です。もう一つは、システム内のファイルの暗号化をせず、窃取したファイルを公開しないための金銭を要求する攻撃です。こちらは「ノーウェアランサムウェア攻撃」とも呼ばれています。

ランサムウェアの被害は不正アクセス同様、日本国内においても業種・業態を問わず被害が発生しています。クラウドストレージサービス提供事業者が被害を受けた事例では、ランサムウェアの被害発生を受け、サービス継続が一時的に難しい状態となり、利用者が当該サービスを使用できない状況となるなど、深刻な被害が発生しました。また、輸送拠点が被害を受けた事例では、ランサムウェアの被害によって内部システムが使用できなくなり、輸送業務等への影響が発生しました。ランサムウェアの被害による組織のビジネスへのインパクトを想定した対応の必要性を改めて実感する事案が多く発生しています。

ランサムウェア攻撃者は、なぜ、様々な組織へ並行して攻撃が行えるのかという点について疑問を感じている方もいるのではないでしょうか。その回答の一つに、攻撃者の分業化があると考えています。サイバー攻撃者は単独で活動しているわけではなく、役割ごとに分業化して攻撃を行っています。

ランサムウェア攻撃者グループは、「RaaS（Ransomware as a Service）」というサービスで呼ばれており、ランサムウェアを開発する開発者（Developer）、攻撃ターゲットを攻撃するアフィリエイト（Affiliate）、被害組織との身代金の交渉などを行うオペレーター（Operator）に分かれているそうです。

また、ランサムウェア攻撃者は、独自に侵入経路を開拓するだけではなく、「IAB（Initial Access Broker）」と呼ばれる、侵入口を開拓、販売する業者とも繋がりがあると言われています。

このように、サイバー攻撃者側は役割分担を行いながら、効率的にサイバー攻撃を行える体制を構築し、攻撃を行ってきています。このような状況では、一企業で対応していくには限界があります。セキュリティベンダーなどと協力して、サイバー攻撃に備えていく必要があります。

---

サイバー攻撃への備え

不正アクセスやランサムウェアをはじめ、様々なサイバー攻撃が日々発生しています。組織としてサイバー攻撃に備えていくために、最初に実施または確認してほしい点としては、基本的なセキュリティ対策が適切に行われているかという点です。

情報処理推進機構が公開する「中小企業の情報セキュリティ対策ガイドライン」では情報セキュリティ5か条として以下のポイントが掲載されています。

● OSやソフトウェアは常に最新の状態にしよう!
● ウイルス対策ソフトを導入しよう!
● パスワードを強化しよう!
● 共有設定を見直そう!
● 脅威や攻撃の手口を知ろう!

私が過去のインシデントの現場で経験した話ですが、組織ネットワークに設置されるIDS、IPS、WAFなどのセキュリティ製品を導入していても、導入製品の運用担当や管理者が明確になっていなかったために、セキュリティ製品の検知に気づけなかったようなケースを何例も見てきました。

最近では、サプライチェーンリスクという言葉がよく使われますが、自社だけではなく、子会社、関連会社も含めて、実はできていると思っている基本的なセキュリティ対策が、人材不足や予算不足などで、実際には適切な運用ができていなかったという状況が発生している可能性があります。インシデントが発生してからその状況を把握する事がないよう、改めて、組織、子会社、関連企業の情報も含めて、対策状況の確認をお勧めします。

参考：
中小企業の情報セキュリティ対策ガイドライン｜情報処理推進機構
https://www.ipa.go.jp/security/guide/sme/about.html

サイバー攻撃へ備えていくためには、組織のリスクを把握する事も欠かせません。「自組織は狙われる事はないから大丈夫」という考え方では、適切なセキュリティ対策を行う事はできません。「何が狙われるか」、「どこが狙われるか」、「誰が狙ってくるのか」を理解した上でリスクの管理を行っていく必要があります。

そのリスク管理に欠かせないのが、情報資産管理やIT資産の管理です。しかしながら、コロナ以降のリモートワークの導入やクラウドサービスの活用など、様々な要因により、IT資産の管理が十分に行き届いていないケースもでてきており、IT資産管理が不十分であったためにランサムウェアなどのサイバー攻撃の被害を受けた事例も発生しています。つまり、攻撃者はその管理の穴を突いて攻撃を仕掛けてきています。攻撃者が組織の穴を見つけるためのアプローチの一つとして用いている手法が「OSINT（Open Source Intelligence）」です。

OSINTは、インターネット上で公開されている合法的にアクセス可能な情報（Webサイト、書籍、報道記事、地図、データベース、SNSなど）を対象とした情報収集/分析活動の事です。OSINTの情報収集対象には、ニュースや公式リリースなどの情報や、グーグルなどの検索エンジンや、SNSなどの情報、ドメインやIPアドレスなどといったIT資産の情報など、様々な情報が含まれます。

攻撃者側も当然OSINTを使用して攻撃対象の事を調査してきます。標的とする組織のIT資産を調査する際には、ドメインやIPアドレスなどのネットワークリソース情報を調査して攻撃対象のサービスや機器を把握し、攻撃を実行します。

このような状況を踏まえ、防御側もOSINTを活用して自組織のIT資産の管理漏れの把握等を行っていく必要があります。OSINTによる組織のIT資産を把握する調査アプローチの事を「ASM（Attack Surface Management）」と言います。

ASMは、組織のIT資産を可視化し、攻撃者視点から脆弱性や浸入経路の分析/評価/対策に活用するための新しいセキュリティコンセプトです。経済産業省からASM導入ガイダンスが公開されております。

ASMを活用すると、利用するサービスや機器のバージョンの表示が可能である事や、脆弱性が存在するバージョンのサービスを使用していないかなどを調査する事ができます。その調査結果を受け、対策が必要なサービスや機器に対してセキュリティパッチを適用するなどの対策を行っていきます。

ASMのポイントは、攻撃者の視点に立ち攻撃を受ける可能性が考えられるIT資産を把握する事です。OSINTは公開情報を活用した情報収集分析活動であり、誰でも実施する事が可能である事から、組織の情報を把握するため積極的に活用し、組織の脆弱性対策などに活用しましょう。

参考：
「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」を取りまとめました｜経済産業省
https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html

---

まとめ

サイバー攻撃は、企業や個人にとって大きな脅威です。しかし、日頃からの適切な対策によって、サイバー攻撃による被害を軽減する事は可能です。

サイバー攻撃を受ける事を前提に、「基本的なセキュリティ対策の実施」、「組織の脅威とリスクを把握」、「組織のIT資産の管理」を適切に行いサイバー攻撃に備えていく事が重要です。

サイバー攻撃に迅速に対応していくために、自組織の現在の状況を適切に把握し、サイバーセキュリティ対策に活用していきましょう。

Armorisでは、ASMにも調査時に活用可能なOSINTトレーニングを提供しております。情報収集の基礎から収集情報の活用まで、段階を踏んでOSINT調査を学べるトレーニングメニューを提供しています。詳細はArmorisのホームページよりご確認ください。

参考：
DOJO Shot 体験型トレーニング｜株式会社Armoris
https://www.armoris.jp/top/service/individual/training

2024.04.25