サイバー犯罪者にも“チャンス到来”　急激なオンライン化がもたらした負の側面

キヤノンマーケティングジャパンが展開するセキュリティ事業

植松智和氏：みなさん、おはようございます。キヤノンマーケティングジャパンの植松と申します。私のセッションでは「コロナが加速するデジタル革新と、それを支えるサイバーセキュリティ」と題してお話をさせていただきます。最初に、私どもキヤノンマーケティングジャパンのセキュリティ事業について簡単にご紹介させてください。

3つにまとめております。まず1つ目は、サイバーセキュリティラボという専門組織を抱えております。こちらはサイバーセキュリティに関する研究やマルウェアの解析、それらをもとにした情報発信を行っている部隊になります。

そして2つ目は幅広いソリューションということで、国内総販売代理店を務めております「ESET」シリーズや、自社開発のメール・Webセキュリティの「GUARDIANWALL」、それからセキュリティサービスなども行っており、お客様からは非常に高い評価をいただいております。

日経コンピュータさんによる顧客満足度調査では、8年連続で第1位をいただいており、調査発足以来ずっと高評価をいただいています。

さて今年も残り2ヶ月を切りましたが、振り返りますと生活に非常に大きな変化があったと言えると思います。まさにオンライン化がいろいろなかたちで促進されましたが、ここで1つ挙げているのは医療関係です。

ひょっとするとみなさんは、もう実際に診察をされたかもしれませんが、4月から特例的にオンラインでの診療が認められています。電話やアプリを使って初診の段階から診察を受けることができます。しかも決済はクレジットカードや電子決済も使えるということで、医療に関してもICTを活用した取り組み、オンライン化が進んでいます。

オンライン化がレジャーや働き方にもたらした変化

また少しおもしろい例を挙げさせていただきますと、こちらは香川県高松市の琴平バスさんがやっていらっしゃるオンラインバスツアーになります。

まさに「オンラインバスツアー」という名前のとおりで、仮想のバスに乗って観光地を巡るということですね。当然ながら実際の観光地は巡れないので、動画でそのスポットを見て楽しむというプランになっているんですが、非常に臨場感を大切にされていらっしゃって、途中、一部ライブでツアーガイドさんを交えた自己紹介やクイズなどが盛り込まれています。

それから、事前に旅のしおりや地場の特産品が送られてきたりといった仕掛けをされることによって、本当にツアーに参加しているような臨場感を高めていらっしゃいます。

左側は阿波踊りを題材にしたツアーの例なんですが、途中で実際にライブで踊り子さんにレクチャーをしてもらえる取り組みを盛り込まれています。

こちらの会社では特許を出願されていて、非常に新しいビジネスに取り組まれていることがおもしろいなと思い、取り上げさせていただきました。

こうした新しいビジネスに取り組む以外にも、我々の身近でもいくつか変化が起きていますので、3つほど例を挙げております。まさに本日もテレワークの環境で、このイベントにご参加いただいている方もいらっしゃるかと思います。

オンラインの会議や飲み会、本日のセミナーなど、いろいろなコミュニケーションがオンラインに移行していること。そして、そうしたテレワークやオンラインでのコミュニケーション、あるいは巣ごもり、ネットショッピングや動画配信サービス、音楽配信サービス等の利用でスマホを利用することが増えている。こういったことも身近に起きた変化かなと思います。

テレワーカーを狙うサイバーセキュリティ攻撃者

サイバー犯罪者もそうした変化を狙ってきていますので、いくつか取り上げたいと思います。

まず1つ目、テレワーク関連で言えばRDP（リモートデスクトッププロトコル）を狙った攻撃ですね。なんと言ってもこれになるかと思います。

特にヨーロッパでは厳しい外出制限がされたこともあり、かなり急にリモートワークをしなければならなくなったと。

そのために、本来適切な設定をすべきところが十分なされず、リモートでの接続が簡単にできてしまうコンピューターなどが多数出てきました。それを狙うような攻撃が増えてきたことが、背景にあります。

本来、RDPはユーザー名とパスワードで認証するという非常にシンプルな仕組みになっているが故に、VPNやファイアウォールを併用することで接続先を絞ったり、パスワードに関してもポリシーを厳格に定めてセキュリティを担保することが重要になってくるんですが、こうしたことがされていない、いわゆる甘い環境を攻撃者も見逃さなかったということになります。

こちらで挙げておりますグラフは、ESET社による検出の傾向ということで、RDPを狙う攻撃、いわゆるブルートフォース攻撃をしかけようとした回数、1台の端末に対する1日あたりの傾向を表したグラフです。

今年の1月、2月は、だいたい1日あたり4万〜5万件の件数だったものが、5月に至っては10万件ぐらいということで、倍増していることがデータからも伺えます。

このRDPの不備や脆弱性は、ランサムウェアの初期の侵入経路として使われることが非常に増えています。FBIもランサムウェア攻撃のおよそ7～8割はこのRDPの不適切な環境を皮切りに起きていると警告していますので、十分注意しなければいけない状況になっています。

オンラインコミュニケーションツールの脆弱性

さて2つ目になります。オンラインコミュニケーションに関しては、Zoomが非常に話題になりました。飲み会や会議ももちろんそうですし、先ほどご紹介したオンラインバスツアーも、途中のライブコミュニケーションにはZoomを使っていらっしゃるようです。Zoomについては、その脆弱性についてもいろいろなところで問題視されたことは、ご記憶に新しいかと思います。

こちらにIPAさんの注意喚起を挙げております。ZoomのWindowsクライアントにおけるUNCパスの脆弱性について挙げられたものになりますが、チャット機能で不正なUNCパスが送られてきた場合にそれをクリックしてしまうと、接続先にログオン名やハッシュ化されたパスワードがそのまま流れてしまうという脆弱性がありました。

Zoomについては、この脆弱性以外にも暗号化に関して誤った説明がされていたとか、ユーザーの同意がないままプライバシーデータが外部に送信されていたこともありまして、企業の姿勢が問われていたという問題もありました。

それ以外にも、いわゆる「Zoom爆弾」といった荒らし行為がメディアに取り上げられたこともあり、ある意味、非常に悪目立ちをしたとも言えますが、こと脆弱性に関しては、その他のオンラインコミュニケーションツールにおいても同じように発生しています。決してZoomだけでの問題ではないのです。脆弱性はどういったものにも、ついてくるということに注意しなければならないと言えます。

新型コロナ陽性者の接触追跡アプリを装ったランサムウェア

そして3つ目、スマートフォンに関連してということでは、新型コロナの陽性者との接触を追跡するアプリが国内でも提供されていますが、カナダでも同じように公式の追跡アプリを開発し、政府もその開発を支援することが6月に発表されています。そうした政府の発表からわずか数日後に、公式のアプリを装った「CryCryptor」と呼ばれるランサムウェアが発生しています。

これはAndroidの環境を狙うランサムウェアで、被害に遭ってしまうとAndroidの中のファイルが暗号化されてしまい「復号するためにはメールでこちらにコンタクトをしなさい」というメッセージが表示される、といった挙動でした。

この「CryCryptor」はESET社の研究者が発見し、カナダのサイバーセキュリティセンターに速やかに報告をすると同時に、実は復号機能を持っておりまして、その復号機能を外部から呼べてしまう欠陥があったので、それを活かしてESET社で復号ツールを提供するという取り組みもしていました。

ここで申し上げたいのは、攻撃者もこうした環境の変化に非常に俊敏に対応してくるということで、我々の変化以上に攻撃者もそこを狙っているということに注意しなければならないと言えます。

まさにこの写真のとおり、今はこのノーマルからニューノーマルへと変化をしていくようなタイミングにあるかと思います。その中ではそうした変化を突くような脅威もついてまわるということは、十分に理解をする必要があると考えます。

さらなる変化が待ち受ける2021年の展望

こうした状況を踏まえて、2021年にどう変わっていくのかを少し考えたいと思います。

こちらは内閣府が7月に発表された、いわゆる「骨太の方針」と呼ばれるものです。それを抜粋したものですが、少し小さいので拡大すると、「『新たな日常』の実現：10年かかる変革を一気に進める」という、かなり力強いメッセージが出されています。

その中心としてデジタルニューディールという柱を掲げられており、例としてはデジタルトランスフォーメーションの推進、働き方や古い慣行といったものを見直していくことが取り上げられています。

政府から非常に力強いメッセージが出されているということも踏まえますと、今振り返ったように2020年も非常に大きな変化があった年ですが、2021年は、より変化することが予想されます。

そうしたデジタルニューディールのポイントを、クラウドファースト、それからデジタルファーストという言葉で表しております。文字どおり、クラウドの活用がより進んでいくということ。

それからデジタルファーストにおいては、すべてのビジネスの中心にデジタルがあるようになっていくということですね。

今までのデジタルの変革は、どちらかと言うと、今あるやり方をデジタルで変えていくという、手段としての捉え方が多かったかと思うんですけれども、そうではなくて、デジタルをより物事の中心に据えていく、デジタル前提のやり方に変えていくことが一層進んでいくと思われます。

クラウドファーストが進むと、重要な機能やデータ、ファイルがすべてクラウドに集まっていく。クラウドの資産価値が非常に高まっていくことになります。また業務システムやアプリケーションがサービスとして提供されるということ。いわゆるas a Serviceがさらに進んでいくことになります。まさにオーナーシップからユーザーシップに変わっていくということで、利用料金を払えばすぐにサービスを使えるような環境が進んでいくことが予想されます。

サイバー攻撃を手助けする、犯罪者向けサービスの拡大

そうしたユーザーシップへの転換は、実はサイバー犯罪の攻撃者のほうにも起きています。Crime as a Service（サービスとしての犯罪）と呼ばれるものですが、代表例としてここではRansomware as a Service（RaaS）と呼ばれるものについて触れたいと思います。

ランサムウェア攻撃に必要なランサムウェアやC&C（コマンド＆コントロール）サーバーをパッケージング化してサービスとして提供し、攻撃者がそのサービスを使うことによって、比較的容易にランサムウェアの攻撃ができてしまうというモデルになっています。

サービスの利用料金を支払うことで、それをSaaSのようなかたちで使えてしまう。その利用料金の元をどこから得るのかというと、ランサムウェアの被害に遭った方から得た身代金を収益の分配として、サービスの提供者に払っていく。まさにアフィリエイトのプログラムのようなものがサイバー攻撃・犯罪の中でも行われている。そんな時代になっています。

そのRaaSの中で、今年比較的新しい動きがあったものが、「Avaddon」と呼ばれる新しいランサムウェアです。こちらは6月ぐらいに日本で多く検知されたランサムウェアで、メールを皮切りに展開していきます。

件名は「You look good here」とか「My favorite photo」ということで、要は「付いている写真を見ろ」ということを訴えてきます。そのメールにはzipファイルが付いていまして、中には画像ファイルに偽装したJavaScriptのファイルがあります。これを実行してしまうと、PowerShellを起動して、「Avaddon」本体をダウンロード、実行していくという展開になっています。

「Avaddon」の詳しい情報については、弊社が先月末に発表させていただいた『「Avaddon」ランサムウェアの解析』というレポートをぜひご覧ください。このAvaddonは先ほどご紹介したようにRaaSとして、ロシア語のフォーラムでアフィリエイトプログラムとしてスタートしております。

また、攻撃のパターンが複数あることから、これを利用して攻撃を行っている者が複数いることが伺えます。しかも6月の頭から7月の頭にかけて二度ほどバージョンアップをしており、一度目・二度目のバージョンは暗号化をしたあと、こういうメッセージをデスクトップに表示をします。

その後の今のバージョンになりますと、メッセージが若干変化をしています。最後のところに文章が追加されているんですが、要は「支払いに応じない場合は盗み取ったデータを公開するぞ」という脅迫をする変化も起きています。

RaaSとして提供されるということで、攻撃のハードルが下がるということ。そして攻撃自体も進化をしているということからしますと、攻撃が増えていったりとか、そしてそこからもたらされる被害が大きくなったりするということも懸念される事態になっています。

アプリやWebサービスの脆弱性を狙った攻撃が増加

そして、2つ目のデジタルファースト、デジタル中心のビジネスに変わっていくということになりますと、さまざまなビジネスがWebやスマホのアプリケーション、Webサービスといったかたちで提供されるように変わっていくことが想像されます。

そうなりますと、そのアプリケーションやサービスの脆弱性や欠陥を突くような攻撃が増えることが想定されます。こちらに映しておりますのは、CVEの脆弱性の報告件数なんですが、ご覧いただいておわかりのとおり、2017年から非常に脆弱性の報告件数が増えております。

昨年2019年には1万2,000件を超える脆弱性が報告されており、1日のペースで言えばおよそ30件ぐらいのペースです。こんなに速いペースで進んでいます。

この脆弱性には、いわゆる攻撃者が隠し持っているような脆弱性、ゼロデイの脆弱性が含まれず、対処しにくい攻撃、ゼロデイの攻撃などにも悪用されることを踏まえると、注意をしなければいけない状況になっております。

また、デジタル化を推進して新しいビジネスに取り組んでいくことになると、そういったビジネス、あるいは企業が非常に注目を集めていくことにもなるかと思います。

そうした企業やビジネスを標的とした攻撃も発生するということは考えられるかと思います。標的型の攻撃は、メールを入り口とすることが非常に多いこともありまして、警察庁でも注意喚起をされています。

このグラフは、警察庁による標的型メール攻撃の件数の推移ですが、一番右の今年の上半期は3,978件の標的型メールを数えていると。昨年の上半期の2,687件に比べると、1.5倍ぐらいの速いペースで進行しています。

また一番左端の平成27年に比べると、半期の時点でこの数を超えるペースになっていますから、標的型攻撃は今後もかなり出てくるということで、気をつけなければならない状況になっています。

無差別攻撃から標的型の攻撃へと変化

そして、その標的型攻撃の動きは、ランサムウェアにも起きております。今までのランサムウェアはどちらかというと、比較的（不特定多数に）ばらまいて被害者から少額の身代金を要求するパターンだったかと思うんですが、これが標的型の攻撃に変わってきています。

代表例は「MAZE」と呼ばれるもの。昨年の11月に非常に活発な動きを見せたものですが、グローバルでも電機メーカーやITサービス事業者がいくつも被害に遭ったということが報じられております。

11月の頭に活動を停止するというリリース文も出されていて、本当にそうなのかどうかというところはあるんですが、「MAZE」以外にも同じように活発な動きをしている標的型のランサムウェアはいくつもあります。

いくつか名前として挙げていますが、1つは先ほどご紹介した「Avaddon」ですね。そして右下の「Ragnar」や「Ragnar Locker」と呼ばれるものが今、注意をしなければならないというものです。

11月上旬に国内の大手ゲーム会社さんが、この「Ragnar Locker」の被害に遭ったということがテレビや新聞でも大々的に報じられました。1,100万ドル相当の仮想通貨を身代金として要求されていることも報じられておりましたね。非常に身近に感じる例が直近でも起きています。

このランサムウェアのせいか、今朝、このゲーム会社さんの場合は株価もだいぶ大きく下がっておりまして、ビジネスにも非常に大きなインパクトを与えているということになります。

いずれもこれらのランサムウェアに共通して言えるのが、暗号化をすると同時に情報を盗むこと。そして、身代金を支払わない場合には盗んだ情報を公開するぞという脅し、ドキシング（晒し）と呼ばれる二重の脅迫をすることが特徴的になっています。

そのため暴露型ランサムウェアとも呼ばれていまして、現在のランサムウェアの標準的な攻撃手法になってきています。

こうした二重の脅しをする背景には、1つはGDPR（EU一般データ保護規則）のような法規制において、情報漏洩に対する非常に厳しい罰金がある中で、その多大な罰金を払うのか、あるいは身代金で解決するのかという選択を攻撃者が被害者に迫る。そういったものが背景にあると言えます。