1位 ランサム攻撃による被害
ランサム(ランサムウェア)とは、感染した機器にあるデータを窃取、暗号化し
そのデータを人質として脅迫を行い、金銭を要求するマルウェアのこと。
近年では、RaaS(Ransomeware as a Service) というランサムウェアを開発/提供するサービスも確認されており、技術力がなくても攻撃は可能
更に、データを暗号化せず窃取だけして脅迫を行うという ノーウェアランサム が確認されている
・攻撃の手口
1 PCやサーバの脆弱性を悪用して感染
脆弱性が修正されたプログラムが適用されず、残った脆弱性を悪用される
2 不正アクセスによる感染
意図せずに外部公開されているポートから不正アクセスを試みる
3 Webサイトやメールによる感染
Webサイトの脆弱性を悪用し、訪問者に強制的にランサムウェアをダウンロードさせる
また、メールに添付ファイルや悪意あるサイトへのリンクを仕込む
・事例
記憶に新しいのはKADOKAWAのランサムウェア被害
原因として、社内ネットワークのアカウント情報がフィッシングによって窃取され
その後、社内ネットワークにてランサムウェアが展開、実行されたとのこと
・対策
各機器の脆弱性に関しては、なるべく早く対応できるよう脆弱性管理手順を明文化し
いつでも実施できるようにしたり、その際はSBOMの作成、CVE、CVSSを活用する
メールに関しては依然として、添付ファイルのダウンロードやURLのクリックは安易に行わないようにする
また、バックアップデータも暗号化される事例もあるためWORM(WriteOnceReadMany)を対策として活用する
・身代金を払うか否か
原則、身代金は払ってはいけない
場合によっては攻撃者に資金提供を行ったとみなされる
そもそもとして、身代金を払ったとしてもデータが元通りになるとは限らない
2位 サプライチェーンや委託先を狙った攻撃
商品の企画開発から販売までの一連のプロセス、そのプロセス関わる組織群をサプライチェーンという
昨今では目標とする組織への踏み台としてサプライチェーン(協力会社)を狙う攻撃が依然として確認されている
また、ソフトウェア開発に関与するライブラリや各種ツール、人の繋がりを悪用したソフトウェアサプライチェーンと呼び、これを悪用した攻撃も確認されている
・攻撃の手口
1 取引先や委託先が保有する機密情報を狙う
標的組織よりもセキュリティが脆弱な取引先や委託先を攻撃し、機密情報を窃取
2 ソフトウェア開発元やMSPを攻撃し、標的組織の足掛かりとする
ソフトウェアサプライチェーンを悪用し、ソフトウェアやサービスにマルウェアを仕込む
MSPとはシステムの運用や監視を請け負う業者のこと、そのMSPが利用するソフトウェアにマルウェア仕込む
・事例
2024年3月頃、Linuxで広く利用されている XZ Utils というツールに悪意あるコードが仕込まれた
そのコードはバックドアで、リリースされていれば多くのシステムが不正アクセスを受ける恐れがあったが、事前に気づくことができた
開発はGitHubにて行われていた、開発に携わるにはメンテナーという権限が必要であるが
攻撃者は時間を掛けて信頼を得、メンテナーになったそう
・対策(自組織)
協力会社の選定にあたって、何らかの認証規格を取得しているなどの選定基準を作成し
それをクリアする候補から選定する
また、契約時に情報セキュリティにおける責任範囲の明確化と賠償に関する条項を盛り込んだり
委託元が委託先のセキュリティ対策状況や情報資産の管理を適切に行えているかを確認できるようにする
・対策(協力会社)
情報セキュリティに関する認証規格(ISMS,SOC,Pマーク)を取得し
定期的に運用の見直し、改善を図る
3位 システムの脆弱性を突いた攻撃
表題通り、脆弱性を突いた攻撃で
特に開発元による脆弱性対策の公開前を狙った、いわゆるゼロデイ攻撃の脅威も減っていない
・攻撃の手口
1 公開される前の脆弱性を悪用(ゼロデイ攻撃)
開発元が脆弱性対策を公開する前に、脆弱性を悪用して行う攻撃のこと
2 製品利用者が対策する前の脆弱性を悪用(Nデイ攻撃)
開発元によるパッチや回避策が公開されたが、それを講じるまでは脆弱性は残存したまま
その期間を狙って攻撃を行う
3 攻撃ツールや攻撃サービスの悪用
公開された脆弱性に対し、攻撃用のツールが販売され
それらツールやサービスを利用して攻撃を行う
・事例
2024年4月、Palo Alto Networks が提供するファイアウォールで利用されている
PAN-OS にて任意コード実行が可能な脆弱性が見つかり、これを悪用したゼロデイ攻撃も確認された
CVSSでの評価で最大の 10.0 と評価され、国内外で脆弱性を悪用した攻撃が確認された
・対策
ソフトウェアやサービスを選定する際、サポートが充実且つ迅速で長期間対応可能であるものを選定する
また、常日頃から利用している機器やソフトウェアや脆弱性情報を収集する
4位 内部不正による情報漏えい等
組織の内部関係者による、意図的な機密情報の持出や社内情報の削除等の不正行為が発生している
また、意図的ではなくとも不注意による情報の紛失、情報漏えいも後と絶たない
・攻撃の手口
1 アクセス権限の悪用
付与された権限が必要以上に高いと、より重要度の高い情報にアクセスされ
より大きな被害発生の恐れがある
また、複数人で端末やアカウントを共用していると誰が不正アクセスしたのか追跡が困難になる
2 在職中に割り当てられたアカウントの悪用
離職後も在職時のアカウントが有効のままだと、そのアカウントを用いた不正が行われる
3 内部情報の不正な持出し
USBメモリなどの可搬型記録媒体、メール、スマホのカメラ、紙媒体などを使い情報を持ち出す
・事例
2024年8月、東急リバブルの従業員が同業他社に転職した際に
個人情報およそ2万5000件を持ちだし、その情報を転職先でDM送付に利用されていた
・対策
利用者ID、アカウントの運用に関する手順を定めて運用し
アクセス権限に関しては、部門や職位、業務に応じて適切な権限を付与する
また、異動や離職に伴うアカウントの停止や削除も迅速に行うようにする
更に、DLP(情報漏えい防止ツール)やIDの共用を禁止する仕組みを検討する
他には入退室管理を行い、可搬型記憶媒体やスマホの持ち込みや紙媒体などの機密情報持ち出しを禁止する
記憶媒体の廃棄にも注意する、物理的な破壊や復元が困難な方法でのデータ消去を徹底する
5位 機密情報等を狙った標的型攻撃
標的型攻撃とは特定の組織に狙いを定めた攻撃であり
標的とする組織に特化した攻撃手法で目的を達成する
・攻撃手法
1 不正アクセス
標的組織が利用するクラウドサービスやWebサーバー、VPN装置等の脆弱性を悪用する
2 メールを用いた攻撃
メールの添付ファイルや本文に悪意あるリンクを仕込み、感染源とする
メール本文や件名、添付ファイルは実際の業務に関連がありそうな内容に偽装されている
3 Webサイトの改ざん(水飲み場攻撃)
攻撃者が標的組織の従業員が頻繫に利用するサイトを調査し、改ざんを行う
従業員がそのサイトに訪れた際、マルウェアをインストールするように細工する
・事例
2024年3月、富士通にて情報漏えいが発生
原因は1台のPCからのマルウェア感染拡大によるもの
注目すべきはこのマルウェアで、様々な偽装技術を組み合わせていたとのことで
発見が非常に困難であったと言われている
・対策
攻撃手法が様々であるが、不正アクセスについては
自社の管轄である機器やソフトウェアの最新化や、脆弱性管理を実施することが考えられる
メールについては社員教育による情報リテラシの向上を図る
水飲み場攻撃については、自社での対応は難しいと思うが
PCなどにウィルス検知ソフトの導入と、定義ファイルの最新化を怠らないようにすることが考えられる
6位 リモートワーク等の環境や仕組みを狙った攻撃
コロナ禍以降、リモートワークが定着してきているが
リモートワークの実現に必要な環境や仕組みを狙ったサイバー攻撃が多発している
・攻撃の手口
1 リモートワーク用製品の脆弱性の悪用
特にVPN製品の脆弱性を悪用した攻撃が多い印象
2 アカウント情報の不正利用
総当たり攻撃や過去に漏えいしたあかんと情報を悪用し、社内システムに不正侵入する
3 リモートワーク用端末への攻撃
私物端末(BYOD)や支給端末を標的とし、メール等を送り付けてマルウェアに感染させる
マルウェアの活動によって、認証情報を窃取して社内システムに侵入する
・事例
2024年7月、東京ガスが保有する個人情報、約416万人分が流出したと公表
原因は、VPN機器からの社内ネットワークへの不正アクセスとの事
・対策
VPN製品などのリモートワークを実現する機器については脆弱性情報を注視し、修正プログラムが公開されたら迅速に適用を実施する
アカウントの不正利用については、多要素認証の設定を有効化する
端末についてはMDMなどのデバイス管理ソフトによる端末を管理が考えられる
7位 地政学的リスクに起因するサイバー攻撃
政治的に対立する周辺国に対して、社会的な混乱を引き起こすことを目的としたサイバー攻撃
各国の機密情報や外貨の不正獲得を目的とした攻撃を行う国家も存在する
・攻撃手法
1 DDoS攻撃
標的のシステムが提供するサービスを停止させ、そのサービスを利用する人々を混乱させる
2 ランサムウェア
標的組織の業務停止や機密情報を窃取するために組織のPCをランサムウェアに感染させる
3 フィッシング
標的組織が利用するサービスアカウント情報や、金融機関の口座情報を窃取するため
フィッシングサイトを用いて情報を窃取する
4 ソーシャルエンジニアリング
標的となる人物に対し、電話やメール、SNSを用いて接触を行う
5 誹謗中傷・デマ
対象とする国、組織に対してネット上にてフェイクや偽情報を拡散する
・事例
2024年10月、ロシアのハッカー集団が日米軍事演習に対する抗議のため
日本の自治体や交通機関のウェブサイトに対しサイバー攻撃を行った
・対策
DDoS対策は後述、他の攻撃に対しては他の項目を参照
8位 分散型サービス妨害攻撃(DDoS攻撃)
ボットネットを用いて、企業や組織が提供しているインターネット上のサービスに対して
大量のアクセスを仕掛けて高負荷状態にさせる
攻撃を受けると、サービスの応答遅延や機能停止が発生する
・攻撃手法
1 ボットネットを利用したDDoS攻撃
IoT機器等により構成されたボットネットに攻撃命令を出し、標的に大量のアクセスを行う
2 フラッド攻撃
TCPで使用する制御パケット(SYN,ACK,FIN)やUDPで使用するパケットをサーバーへ大量に送信する
3 リフレクション攻撃
送信元を標的組織のIPアドレスにし、多数のサーバーへ問い合わせを行い
その応答を標的組織のサーバー等に送り付ける攻撃
DNS,NTPがよく利用される
4 DNSランダムサブドメイン
標的組織のドメインにランダムなサブドメインを付加してDNSへ問い合わせる
正規なのか悪意ある問合せなのか区別がつかないため、対策が難しいとされる
5 DDoS代行サービス
ダークウェブでDDoS代行のサービスが存在し、これを利用する
・事例
2024年12月、JALや金融機関でDDoS攻撃の被害が発生した
当攻撃に於いて、OSI参照モデルの3,4,7レイヤーを組み合わせた攻撃との事で
一般的な対策では防御は困難であった
また、同年同月には中学生2人が海外のDDoS代行サービスに攻撃を依頼していたことが発覚した
・対策
CDN(コンテンツデリバリネットワーク)サービスの利用により、サービスを冗長化する
コンテンツが格納されたサーバ(エッジサーバ/キャッシュサーバ)が世界中に点在することで
特定のサーバにアクセスが集中すること無く、分散される
9位 ビジネスメール詐欺(BEC)
悪意ある第三者が標的組織やその取引先になりすましてメールを送信し
偽の銀行口座に金銭を振り込ませるという攻撃
最近では生成AIを利用したBECが増加している
・攻撃手法
1 BECの準備としての情報収集
標的組織の経営者や幹部、人事担当者になりすまして組織内の従業員の個人情報を窃取する
マルウェアや不正侵入による窃取もある
2 取引先や経営者等のなりすまし
攻撃者が取引先や経営者になりすまし、業務に関係あるかのようなメールを送信し
金銭を振り込ませる
3 社外の権威ある第三者へのなりすまし
弁護士等の社外の権威ある第三者になりすまし、組織の財務担当者等にメールを送信する
・事例
2024年1月、とある多国籍企業にて約37.5億円が詐取された
これはディープフェイクによって作成された映像を用いて、CFOや同僚を騙り
指定の銀行への送金を指示するものであった
また、海外のセキュリティ業者(Vipre Security Group)によると
AIを用いたBECが急増しているとのことで、AI技術の成熟により
今後も増えると予測される
・対策
メール技術では送信ドメイン認証(DMARC,SPF,DKIM)を用いて、自社ドメインを騙ったなりすましメールを顧客が受信できない様にする
また、事実確認のフローを設ける
特に金銭のやり取りが発生するような手続きに於いて、単独の判断では完結させないような
確認の手順を定める
10位 不注意による情報漏えい等
システムの仕様への認識不足、意図しない設定ミスによる非公開情報の公開、不注意による記録媒体の紛失等、不注意による個人情報の漏えいが度々発生している
・不注意の要因
1 情報取り扱い者の情報リテラシー・モラルの低さ
情報の機密性や重要性への理解やモラルが十分でないため、情報の不用意な持ちだしや
メールの誤送信が発生する
2 情報取り扱い時の状況
体調不良や多忙等により、注意力が散漫になってしまう
3 組織の規定及び情報の取り扱い手順の不備
情報を取り扱うプロセスや方法に不備があると漏えいが起きやすい
4 誤送信を狙った偽ドメインの存在
組織の正規ドメインに似たドッペルゲンガードメインの存在により
誤送信を誘う
・不注意による情報漏えいの例
1 メールの誤送信
宛先の誤り、To/Cc/Bccの設定ミス、添付ファイルのミス
2 Webサイトの設定不備
権限のミスやクラウドの設定ミス
3 外部サイトへの安易な機密情報の入力
4 機密情報を保存した端末や記録媒体の紛失
5 紙媒体の重要書類の紛失
・事例
2024年6月、通販サイトの「プレミアムバンダイ」にて
委託先の従業員が個人情報が入ったHDDを、内部のデータを削除せずに
HDDを廃棄し、これを入手した第三者がデータの残存を指摘。
・対策
作業の自動化やシステム化により、作業負荷の軽減やヒューマンエラーの回避に努める
業務を委託する場合は、委託先を選定基準を設けることと情報管理を徹底させる
参考:情報セキュリティ10大脅威 2025
コメント