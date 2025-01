相次ぐサイバー攻撃には4つの傾向がある。さまざまな対策がある中で有効なのは?(写真:Graphs / PIXTA)

サイバー攻撃による被害を頻繁に耳にするようになっている。日本航空、三菱UFJ銀行、みずほ銀行、NTTドコモなど、年末年始もサイバー攻撃が相次いだ。想像を超えるスピードでサイバー攻撃が進化する現在の状況と対策について、40年以上サイバーセキュリティの研究を行っている東京電機大学 名誉教授の佐々木良一氏に話を聞いた。

被害が大規模化・多様化し、攻撃も攻撃者も多様化

――最近のサイバー攻撃の傾向や手口をどう捉えているか。

特徴は大きく4つある。被害の大規模化、被害形態の多様化、攻撃対象の多様化、そして攻撃者の多様化だ。



被害の大規模化は、仮想通貨に対する攻撃が典型的で数百億円規模の多額の損失が、またランサムウェア攻撃の身代金も10億円を超えるものが出ている。

被害形態の多様化では、従来は個人情報の漏洩など機密性の喪失が中心だったが、最近ではランサムウェア攻撃によるデータ改ざんやシステムダウンといった完全性、可用性の喪失が大きな問題となっている。

情報を安全に守るには、アクセス制限によって情報を管理する機密性、情報を正確に保つ完全性、情報をいつでも使える状態にしておく可用性の3要素が欠かせない。

攻撃対象の多様化は、PCやサーバーだけでなくIoT機器が狙われるようになっていて、それを踏み台にIT機器の攻撃につながるケースも出てきている。

2017年に発生したマルウェアの一種「Mirai」によるDDoS(Distributed Denial of Service)攻撃の例では、インターネットにつながるWebカメラがウイルスに感染し、そこからサーバーなどに向け大量にデータを集中させる攻撃が発生した。

ほかにも取引先企業を足がかりにターゲット企業を攻撃するサプライチェーン攻撃もある。

サプライチェーン全体で最も弱い組織が攻撃されるため、セキュリティ対策の弱い組織を排除したり、弱い組織を強くするために、サプライチェーンの中心企業が系列企業やパートナー企業に報告を求めたり、対策を促す契約書を結ぶようになっている。

攻撃者の多様化では、これまではハッカーと呼ばれる人たちが夜中に1人で作ったツールで面白半分に攻撃するイメージがあったが、最近は金銭目的が全体の86%ほどで、スパイ活動が13%と目的が大きく変わっている。攻撃者の種類も犯罪組織が55%と最も多く、次が国家関連で大きく様変わりしている(Verizon「2019年度データ漏洩/侵害調査報告書」)。

サイバー犯罪は、麻薬売買などと並び割りのよい犯罪ともいわれる。設備投資がいらず、捕まりにくくてメリットがあるので、犯罪者がどんどん入ってくる。

先進的なサイバー犯罪組織には、最高経営責任者や最高情報責任者、研究開発を行う部門やコンピュータウイルスの品質保証を担う部門まであるという。攻撃者の役割分化が進んでいるためで、攻撃依頼者、攻撃実行者、攻撃用ツール開発者がいて、コーディネーターもいる。

報酬を支払えば、インターネットを経由してランサムウェアのパッケージが利用できる「RaaS(ランサムウェア・アズ・ア・サービス)」というビジネスモデルも誕生している。攻撃ツールを作る際も、使ってもらうためにツールの信頼性を高めている。

また、国家関連のサイバー攻撃は10%ほどあるといわれている。政府自身、軍事組織、その国に忠誠心を持つハッカーグループが行うものなどがある。目的は情報収集とスパイ活動、政治的な操作、他国の選挙への介入、サイバーテロや経済的な利益を狙うものもある。

いずれも高度な技術と組織力を持ち、長期にわたる計画で大規模な影響がでるのが特徴だ。国により攻撃パターンは異なり、ロシアは敵対国に対する政治的、社会的混乱を目的とし、対象はアメリカや欧州の国々になる。中国は経済的利益の追求と国家の安全保障、北朝鮮は経済的利益が目的で、とくに外貨獲得が中心だといわれている。

ランサムウェア攻撃が悪質化、新しい働き方を狙う攻撃も

――とくに2024年はランサムウェア攻撃による被害が急増した。

悪質化も進んでいる。ランサムウェアは、暗号化によってデータを使えなくする業務妨害と、データを元に戻すことと引き換えに金銭を要求する二重攻撃型になっている。

従来もランサムウェア攻撃はあったが、しつこく狙う、かつ身代金を払っても元に戻さない攻撃が発生していて、これらは今後も続く。​復旧に数カ月かかる例もあり、時間がかかれば損失や影響も大きくなる。

復旧のために身代金の支払いを容認する考えもあるが、よくないという意見のほうが多く、お金を支払っても元に戻せないこともある。支払ったことが世間で話題になることも懸念され、今後は身代金を支払うのが難しくなりそうだ。

アメリカでは保険で身代金を払うこともあるが、保険に入っている企業が攻撃対象になるという話もある。また、フロリダ州では州法で州立病院などが身代金を払うのを禁止している。

明確な数字はないが、サプライチェーン攻撃の増加も挙げられる。サプライチェーン攻撃にはさまざまなものがあり、普段ビジネスで使うソフトウェアやサービスにウイルスを埋め込み、それを使わせて被害に遭わせるケースもある。

もう一つ、テレワークなど新しい働き方を狙った攻撃が増加しており、VPN(Virtual Private Network)やクラウド環境のアクセスが悪用されている。

対策は「ゼロトラスト」が注目されている

――セキュリティ対策も進化しているのか。

対策としては、境界防御からゼロトラストへといわれている。リモートワークやクラウドの導入に伴い、社内と外部のネットワークの境界を監視・制御することによって防御するのは難しくなっているからだ。



佐々木良一(ささき・りょういち)東京電機大学 名誉教授 兼 同大学サイバーセキュリティ研究所客員教授/1971年日立製作所入社。システム開発研究所でシステム高信頼化技術やセキュリティ技術などの研究開発に従事。同研究所部長や主管研究長兼セキュリティシステム研究センタ長。2001年東京電機大学教授、2018年特命教授、2020年より現職。日本セキュリティ・マネジメント学会会長、デジタル・フォレンジック研究会会長、内閣官房サイバーセキュリティ補佐官などを歴任

(写真:本人提供)

そこで境界を越える攻撃があることを前提に、通信相手のPCやサーバーが信頼できないものとして対処するゼロトラストアプローチが注目されている。NIST(米国国立標準技術研究所)が、ゼロトラストセキュリティの7つの基本原則をあげているが、これは3つの対応にまとめられる。

1つ目は、すべてのリソースへあらゆるアクセスがあると想定し、対策をすること。組織が貸与するPCやサーバーだけでなく、スマホや個人PCなどすべてが対象だ。2つ目が、セキュリティに関する状態を常に監視し特定すること。3つ目は、ネットワーク境界における静的なアクセスコントロールだけでなく、アクセスごとに動的なコントロールをすること。

この考え方自体はよいが、採用すればゼロリスクになるわけではない。またゼロトラストへの移行期は、ファイアウォールなどを残したままとなりコストが上がったりする。また動的認証が増えるので使い勝手が悪くなったりすることもある。

そこで、ゼロトラストセキュリティという考え方をベースにリスクアセスメントを行い、リスクや対策案を洗い出して、コストや使い勝手なども考慮し関係者とリスクコミュニケーションを行いながら最適なシステム構成を決めることが重要になる。

最近、ゼロトラストセキュリティの次の段階として、サイバーレジリエンスも注目を集めている。ゼロトラストは被害を受けなくするのが前提だが、サイバー攻撃を完全に防ぐのは難しいため、攻撃を受けることを前提に予測力、抵抗力、回復力、適応力の強化に焦点を当て被害を最小限に復旧させることを指す。

「係長セキュリティから社長セキュリティへの移行」という話題もある。これは、大手、中堅企業を中心に、セキュリティ対策は経営マターという認識が着実に進展していることを表す。実際、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)を設置する企業も増えている。

ただ、CISOを設置している割合は、日本が39.4%なのに対し、アメリカは96%と高く、日本はまだまだこれからだ(NRI「Secure Insight 2022」)。攻撃そのものも非常に高度になり、なかなか防ぎきれない状況が続いていて、経営者が関与するセキュリティ対策がますます重要になっている。

私が座長としてまとめた経済産業省「サイバーセキュリティ経営ガイドライン」では、経営者が認識すべき3原則としてリーダーシップの発揮、サプライチェーン強化、 社内外の情報共有を挙げている。

またサイバーセキュリティ経営の重要10項目としてCISOなどが対応すべき点についても書かれている。経営者はこれらを参照して、セキュリティ対策が経営マターだと認識してしっかり対応してもらいたい。

生成AIがサイバー攻撃をさらに高度化する

――生成AIはサイバー攻撃やセキュリティ対策にどのような影響をもたらすか。

以前から、AIとセキュリティの関係には4つの観点があると私は言っている。「Attack using AI」はAIを利用した攻撃、「Attack by AI」はAI自身による攻撃で、どちらもAIが攻撃してくるが、後者のAIが自律的に攻撃してくる可能性も認識しておく必要がある。そのほか、AIへの攻撃の「Attack to AI」と、AIを利用したセキュリティ対策となる「Measure using AI」もある。





今後は、AIを利用した攻撃がいっそう増えると考えられるが、「Attack using AI」では、とくに生成AIの影響が大きくなるだろう。

マルウェアなどの不正ソフトが容易に自動生成できるようになるほか、わかりやすい文章が出力できるのでフィッシングメールやフェイクニュースも簡単につくれてしまう。Deep LearningなどのAI技術を利用するディープフェイクは、どんどん高度になっているので、真偽を見分けるのが難しくなっていく。

間接的ではあるが、技術が陳腐化して失業や転職につながったり、社会構造の急激な変化、人間への攻撃などが起こるといった社会的リスクもある。

さらに生成AIを使い脆弱性情報を悪用したり、人の行動やシステム内部の脆弱性を予測して標的型攻撃を実行するなど多様な攻撃が考えられるので、これらの領域の研究をしっかり行っていく必要がある。AIを利用したセキュリティ対策でより高度な対策をすることも求められるだろう。

「EUサイバーレジリエンス法」への対応も

――2025年もサイバー攻撃は増えるか。どう対処すべきか。

今後もランサムウェア攻撃は増加すると見込まれる。ランサムウェアは、なるべく被害に遭わないようにすること、そして被害にあっても影響が小さくなるようにしておくことが重要だ。

ユーザー企業ができることは限られるが、対策費用は多くなってもリスクアセスメントをきちんと行うこと。また「Attack using AI」が増加するとともに、攻撃がさらに高度化していくだろう。攻撃を完全には防ぎきれないので、サイバーレジリエンスの強化も大切になる。

サイバーレジリエンスの構築では、従来は、その発生率を下げることで異常な状態になることを防いでいたが、たとえ異常になっても直ちに復旧できるようにすることも、今後は重要性を増す。

一般ユーザーとしては、昔から言われているような、バージョンの古い脆弱性のあるソフトウェアは使わない、ウイルスや脆弱性チェックのようなものを整備し、常に最新の状態で運用するなどの基本の対策をしっかりやっていくことが大切になる。

とくに最近は、リモートワークやリモートメンテナンスなどで使われるVPN装置の脆弱性や設定の不備が狙われる例が目立つので、適切に管理する必要がある。その際に、自分たちの管理範囲がどこまでで、見逃しがないのかについて注意しておこう。

2024年10月10日に、EU理事会と欧州議会で正式採択された「EUサイバーレジリエンス法」がある。EU内で事業を行うすべての企業に対しサイバーセキュリティの基準を定め、遵守を義務付けるものだ。

この法規制の本格的な適用はまだ先になるが、きちんと対策をしていないと多額の罰金を科せられることになるので準備を進めておきたい。





(谷川 耕一 : ライター)