最悪のサイバー攻撃は人命やインフラを奪い、顧客も巻き込む　犯罪者に狙われやすいターゲット

COVID-19が日本社会に与えた最大のインパクト

峯森惇平氏：キヤノンマーケティングジャパンの峯森です。本日はご多用の中、本セミナーをご聴講いただきありがとうございます。「壊滅的なサイバー攻撃から従業員を守る　セキュリティ革新2022年の勘所」と題してお話させていただきます。

2020年から約2年、これまでに例を見ない働き方改革を進める必要性から、みなさま非常に苦労されたと思います。ここらで2022年に向け、セキュリティ対策をちょっと一考をしても良いのかなと思います。

現在は、リモートワークが増え、攻撃を受ける対象領域が広がっており、今までと同じ対策をしていては対策が不十分になります。本セッションでは、そのあたりを整理して2022年に向けて何を意識するべきかをご紹介します。

私は、キヤノンマーケティングジャパンが国内総販売代理店を務めている、ESET社製品のマーケティングに従事し、販売促進や事業推進などの業務をしております。どうぞよろしくお願いいたします。

本日のアジェンダは5つです。1つめがつながり合う時代。2つめがAttack Surfaceについて。3つめが壊滅的なサイバー攻撃を知る。4つめが2022年の脅威予測。そして5つめがESET製品でできること、という順番でご紹介します。

まず「つながり合う時代」と聞いて、みなさまは何を思い浮かべるでしょうか。私はクラウド、IPv6、それからIoTの時代になり、テクノロジーによりデバイスが相互につながり合う時代になったかと思っております。

そんなつながり合う時代に差し掛かった日本のビジネス環境に、COVID-19が大きなインパクトを与えました。ニューノーマルな働き方、いわゆるテレワークの定着が大きいかなと思います。

個人的な印象ですが、テレワークは、かっこよく見えている感じがあります。出勤などに費やしている時間や労力を、このように別のイノベーティブなワークに費やせるのはかっこいいですし、メリットも多いと思います。サテライトオフィスなど、基本テレワークでも立ち行く業種あるいは職種の方はテレワークに軸足を移している企業も多いと思います。

つながり合う時代は「通信が闇に包まれる時代」でもある

では、情報システムあるいは経営者の目線でテレワークを捉えます。私みたいな1ユーザーは、情シス部門から見たら、このように“子ども”みたいなものなんですね。「不用意にオフィス文書ファイルのマクロを実行してしまった。一瞬PowerShellが表示された以降は何もないので報告も対処もしなくていいかな……」

根底には何かあっても責任を取りたくない。怒られたくない。隠す。セキュリティ的に”低きに流れる”という子どものような考えがあります。結果、重症になります。

そのようなセキュリティ事故が発生した場合、従業員数の0.1パーセントでも（隠す人が）いないとは限らないですね。唐突だと思いますけれども、そんな“子ども”をあやす仕組みというのもいいかもしれませんし、目指すべきは「優しいITの世界」「やさしいセキュリティ対策」とも言えるのかなと思います。

主語が少し大きいですが、そもそも「IT」とはみなさまの生活を「より豊かにする」のが目標です。また、経営判断を正確にすぐ行えるようにし、情報システム部門の負荷を軽減する。これが主なメリットと思っております。

セキュリティ対策は、この3つのメリットを潰してはいけないんですね。三方良しのセキュリティを考えていくべきかと思います。デジタル庁も、「誰一人取り残さない、人に優しいデジタル化を」と言っております。

さて、2020年から相互につながり合う時代になりました。つながり合う時代＝通信が闇に包まれる時代、とも言えます。Webが暗号化された通信に移行することで盗聴は困難になり、よりセキュアになります。

一方、「つながり合う時代」のデメリットとして、「通信経路の多様化」や「通信暗号化」により、従来型のセキュリティ検査ができない状態になりがち、ということもあります。

そのような観点から、今はエンドポイント対策の見直しが非常に重要です。エンドポイントではいずれの通信も復号されます。つまり、暗号化通信全盛の時代に即した対策は、エンドポイント対策が重要と言えます。

今までは左の図のような、いわゆる境界型防御が主流でした。ネットワークの中と外を区別し、出入国審査で水際対策を行い安心安全を保つというかたちです。

今は右の図の通り、各デバイス、データセンター、クラウド、リモートワーク端末、IoT機器などが相互につながり合う時代になっています。保護対象は社内ネットワークの外部に存在し、その多くが暗号化通信を行っています。

また最近は社員が端末を持ち出すことが多くなり、データが強固な防御策の外側に出て行ってしまいました。そのため「攻撃を受ける可能性のある場所」が増えており、「防御すべき面積」も増えています。

その前提から、今回のテーマである攻撃対象領域”Attack Surface”「攻撃を受ける可能性のある場所」、逆に言えば「防御すべき箇所」を見ていきたいと思います。

サイバー犯罪者が攻撃できる範囲が広がっている

社員が強固な防御策の外側に出て行ってしまいましたので、「防御すべき箇所」を再特定しましょう。これまでは物理的境界が自社ネットワークの“へり”にあり、ファイアウォールやプロキシサーバーといった基本的な防壁で対応してきました。今はリモートワーク端末、クラウドサービス、IoT、モバイルデバイスなど、攻撃者が攻撃できる対象が広がり、防御すべき面積が広がっています。

ここで言うと、RDP（リモートデスクトッププロトコル：コンピュータの画面を別のコンピュータに転送して表示・操作するために用いられる仕組みで、既知の脆弱性があり攻撃に悪用されるケースがある）の認証情報などは非常にケアすべき領域だと言えます。

コロナ、あるいはWithコロナ時代は、もはやテレワークを廃止することはないと考えています。サイバー攻撃を受ける側は、守る領域が広がっていると意識する必要があります。

同時に攻撃する側の手口が高度化、巧妙化していますので、今までと同様の防御策では突破されてしまいます。攻撃者としても、さまざまな防御策が施された強固な企業ネットワークに正面から侵入するよりも、私のような在宅勤務中のぼやっとした個々の社員のPCを狙う方がはるかに容易だと思います。

ここが今考えるべき、Attack Surfaceの拡大です。自社ネットワークの内外で多く使われている、膨大な数のPCやスマートフォン、タブレットなどを包括的に保護する必要があるといえます。そうすると、セキュリティ対策が2次関数的に複雑になります。複数の対策を行うとなると、完全にスパゲティ化（システムの数や機能が多く複雑化した状態）です。

でも人材を急に増やすことはできないし、どんな人を雇えばいいのかわからない。あるいはアンマッチな雇用をすると、技術者はすぐに転職してしまうこともある。結果、インフラが複雑になっただけでリソースは限られたままになり、リビルドすべき部分に手をつけられていない、という悪循環に陥りがちです。

サイバー犯罪のためにインフラへの被害も

まずは今回のお題でもある「壊滅的なサイバー攻撃を知る」という部分をご紹介したいと思います。一番あってはならないのは、サイバー攻撃による壊滅です。現代は物理とサイバーが融合されている時代なので、サイバー側が壊滅すると物理側もどんどん壊滅していきます。まずは、壊滅させないことがポイントです。

異論はあると思いますが、ここで言う「壊滅」を簡単に定義します。1つめ、人命に関わるもの。

2つめは、事業継続ができなくなるもの。3つめは自社の顧客に強烈な影響、インパクトを与えるもの。ここでは2つめと3つめをご紹介します。

まずは事業停止に追い込まれた事例を見てみます。直近では、米国の重要インフラである、Colonial Pipeline社（大手石油パイプライン会社）における被害が有名です。2021年4月29日に初期潜入が行われ、5月7日に約100ギガバイトの重要情報を窃取され、システムがロックアップ。結果、5月12日まで操業停止しました。

この間に米国の中で石油がパニック買いされています。このAttack Surfaceは、VPN基盤の認証不備と言われています。このようなVPN基盤なんていうものは、抜け漏れがあるのに気づきにくいものなんですよね。

このような重要インフラでも、10年以上前のITインフラを使用しているケースもあるので、そのあたりも侵入される要因となります。ちなみにこちらは約5億円相当の身代金を支払ったそうですが、FBIにより大半が回収できたと聞いております。

こちらの攻撃主体であるDarkSideというグループが使ったマルウェアは、2020年10月頃からESET製品でWin32/Filecoder.DarkSideとして検出しており、特段最新のものではなかったようです。

顧客をも巻き込んだ、史上最大かつ複雑なサイバー攻撃

そして、自社の顧客に強烈なインパクトを与えた攻撃として、サプライチェーン攻撃の例を2点あげます。1つめがKaseya社への攻撃。Kaseya社はソフトウェアの自動パッチ適用やリモート監視などの機能を提供しているベンダーさんですが、そこにゼロデイ脆弱性（​​ソフトウェアなどに問題が見つかり、ベンダーの対応が行われる前に攻撃を行うもの）が発覚しました。

Kaseya社のセキュリティチームは、セキュリティパッチ提供を急いでいた矢先に、攻撃者に先を越されてしまいました。REvil（Sodinokibi）ランサムウェアが仕込まれた偽アップデートが自社の顧客に配信されてしまい、約1,500組織が被害を受けたと言われております。このAttack Surfaceはリモート監視・管理サーバーであったと言われています。

2つめの事例は、SolarWinds社のOrion Platformへの攻撃です。ベルギー大使館員になりすましたThe Dukesという攻撃者グループが、ミーティングの招待といったメール添付のマルウェアから初期潜入を行い、バックドアを仕込んでいました。

こちらも自社のソフトウェアの偽のアップデートを通じ、マルウェアを自社の顧客に広く配布してしまうといった手法です。米国の政府系機関を含む18,000組織が被害に遭いました。こちらは、従業員のメールアカウントがAttack Surfaceでした。

日本では、オンラインバックアップや電子カルテまで被害に

そのような高度な攻撃者グループからの影響は、対岸の火事だと思っていませんか。国内の事例を2つご紹介します。

まずは1つめ。とある企業が攻撃を受け、社内のシステムがオンラインバックアップごと侵害されました。その侵害はグループ会社を含めて広範囲に及び、技術的には復旧が不可能になりました。決算発表自体も延期されたそうです。オフィシャルには「BCP想定を上回る」という記載があり、影響の深刻さがうかがえます。

そして2つめ。直近ですけれども、とある病院のオフラインネットワークの環境にある電子カルテが侵害された事例です。Attack Surfaceはメンテナンス用のVPN端末と言われています。

ここでは「LockBit 2.0」といわれるRaaS（ランサムウェア・アズ・ア・サービス）が利用されています。「LockBit 2.0」は、システムのロックアップと同時に情報の窃取、リークサイトに情報公開する多重脅迫手法をセットで攻撃してくることで有名です。

このリークサイトでは他にも国内企業のドメインから窃取したと思われる情報が掲載されています。海外の大手総合コンサルティング企業も被害に遭っており、世界的に注意喚起がなされています。国内でも注意が必要です。

金銭を奪うための四重以上の攻撃の手口

ランサムウェアを用いた脅迫はサイバー攻撃の主流になり、巷にはたくさんの“プロ”がいます。今や銀行強盗をするより、ランサムウェア攻撃をして身代金を要求するほうが捕まるリスクが少なくて、リスク対効果が高いと言えます。

「LockBit 2.0」に関しましては、当社のサイバーセキュリティラボのチームがレポートを出していますので、詳細はこちらのリンクもご覧いただければと思います。

攻撃者グループは四重以上の脅迫を行って、なんとか金銭を入手することを考えます。ここに攻撃者名やRaaSの主な名称を列記しました。少なくとも彼らの動静には注意を払う必要があります。

先ほどの事例にありました病院を侵害した「LockBit 2.0」は、今一番注意すべきRaaSであると言えます。最近のランサムウェアは、多重脅迫が一般的です。システムロックアップを行い、かつ窃取した情報を晒す「ドキシング」という手法がもはや定番化しています。

また、「DDoS攻撃（Webサイトやサーバに大量の情報を送りつけ、システムダウンを狙う手法）を行うぞ」という脅迫もプラスされます。

攻撃者によっては4番から6番までのいわゆる嫌がらせ、ハラスメントを行うケースもあります。

狙われやすいユーザーのタイプ

攻撃者グループは裏市場で結びついています。各々が専門職になり、分業し、高度で巧妙に攻撃ツールを開発し、攻撃が行われます。マルウェアディストリビューターがマルウェアやツールを開発し、それをRaaSなどのインフラに乗せて提供します。

オペレーターは、初期潜入に必要な情報をイニシャルアクセスブローカーから購入して、自身の代わりに攻撃者（アタッカー）すらも募集し、ターゲットに攻撃を行ったりします。

「自分は狙われない」と思っているユーザーを分類すると、このようになります。

一般的には、小規模ユーザーへの初期潜入はRDPが多く、規模が大きくなるほど、VPN機器の脆弱性を狙う攻撃やフィッシング攻撃・標的型攻撃が増えると言われています。また、ターゲットの規模が大きくなってくるとRaaSを用いた攻撃手法を用います。

過去に身代金の金払いが良かったり、背に腹は代えられない事業者など、いわゆるハイプロファイルと呼ばれる層にいくと脅迫金額が数億円・数十億円に上昇します。赤枠内はドキシング、つまりはリークサイトでの情報さらしによる脅迫があるため、被害が発覚した際は、即広報対応が必要になります。

11月中旬には、最恐マルウェア「Emotet」が復活

ここで今までの情報を踏まえ、2021年のサイバー攻撃の傾向を基に、2022年にケアすべき事項をESET製品からの情報を元に整理したいと思います。2021年T2におけるESET製品における検出傾向を分析しますと、フィッシングや詐欺を目的とした添付ファイルの検出数は増えております。逆に、ダウンローダー型のマルウェアは減少傾向です。

その減少要因はひとえに、本年ユーロポール中心に実施された、Emotetというマルウェアのテイクダウン作戦（Operation Ladybird）に加え、イニシャルアクセスがRDPやVPNに変化してきていることも大きいと思います。ただ……最恐マルウェアのEmotetは、実は11月中旬に活動再開したというニュースが世界を駆け巡っておりますので、動静に注意が必要です。

本題のAttack Surfaceを脆弱性の観点から分解すると、RDPの脆弱性を悪用した攻撃、Microsoft SQL Serverなどに対するブルートフォース攻撃、SMB（Windowsネットワークで標準で使われているファイル共有プロトコル）の脆弱性を悪用した攻撃に分けられます。1台当たりの傾向では、RDP狙いの攻撃が大幅に増加しているのがわかります。

詳しく見ていきますとこちらです。

2021年5月から10月のサマリーを見ますと、ESETで検出したRDPの攻撃試行全体数は、103.9パーセントの純増になります。これは対前103.9ではなく、103.9パーセントの純増、つまり倍くらいということです。注目すべきは特定対象へのRDP攻撃試行が、約16万台前後で推移しているという点ですね。

こちらは16万台からあまり変わらず、ターゲットが狙いすまされているということです。一度ターゲットリストに挙がってしまうと、ひたすら攻撃を仕掛けられることがよくわかります。攻撃回数自体は2021年5月から10月までの間で、550億回観測されています。

ここまでの内容をまとめます。2021年は、RaaSに代表されるランサムウェア攻撃のさらなる高度化、巧妙化がありました。そして高度な感染手法を用いたサプライチェーン攻撃がありました。DXを進めていくにつれてAttack Surfaceが増えてきましたので、2021年はインフラのスパゲティ化が発生している状況かと思います。

その上で2022年に向けて検討すべきことは、攻撃のターゲットにならないためにAttack Surfaceを減らすことです。攻撃手法を知った上で、壊滅的な被害をもたらすマルウェアへの防御。そして、少ないリソースを前提に環境構築することが必要です。

限られた人的リソースで、サイバー攻撃を防ぐには

このような脅威に対応するには多層防御が必要ですが、ここはなかなか複雑ですね。多くのインテリジェンスに基づいた高度なリサーチ、あるいは開発が必要になります。

ここで、当社が国内総合販売代理店を務めるESET社の製品を用いた、バランスの取れた、従業員に比較的やさし目なセキュリティ対策をご紹介します。

先ほど、2022年にケアすべき3点を挙げましたが、そこでESET製品が検討に値するかを検証します。Attack Surfaceを減らすための投資として効果的か、壊滅的な被害をもたらすマルウェアへの防御を進めることができるか、そして少ない人的リソース前提のインフラ検討という観点ではどうなのか。

まずは、ESETのエンドポイント製品の特長です。エンドポイントのAttack Surfaceという観点で、ESET製品は8レイヤーの多層防御機能を持っています。エンドポイントの中で多層防御を実現しています。マルウェアの実行前の3段階、実行中の3段階、そして実行後の2段階という、8レイヤーの検出が可能です。

また、ESET製品のクラウド管理コンソール（セキュリティ管理ツール）では基本的には管理者が、どこにいても、どこからでも、エンドポイントに入っているESET製品を管理できます。アンチウイルスソフトだけではなくて、クラウドサンドボックスやフルディスクの暗号化機能まで一元管理が可能です。また当然、クラウドですのでハードの構築や運用にまつわる人的リソースも少なくて済みます。

このクラウド型のセキュリティ管理ツールは、本年7月にリリースされてから本日に至るまでに3回バージョンアップされております。9週間程度のサイクルで、機能強化、機能改善を行っております。常に進化するセキュリティ管理ツールと言えます。

マルウェアを自動で分析・解析・防御することが可能

また、クラウドサンドボックス連携することにより、不審なファイルをプロアクティブに検査します。ESETが持つクラウドサンドボックス環境で、自動で分析・解析・防御する機能を持っています。

エンドポイントだけでは白黒判定できなかったグレー判定になってしまうような不審なゼロデイ型の脅威を、より早い段階で検出することが可能になります。こちらは、追加導入自体クラウドなので当然ハードはいりませんし、追加エージェントのインストールなども不要です。セキュリティ管理ツールからのリモート指示だけでスイッチONになります。

クラウドサンドボックスにおいては、管理ツールが入っていれば、比較的簡単にすぐに導入できますし、それにより不審なファイルをより早い段階で検出することができるようになるため、おすすめです。

クラウドサンドボックスの解析結果を基に検出された脅威が、どのようなマルウェアだったのか。マルウェアにありがちな動きを見える化・比較できますので、ある意味、EDR（ネットワークに接続されたコンピュータから得られる詳細な挙動ログを監視・分析し、脅威を検出・対処するセキュリティ対策）製品を導入しなくても、マルウェアの振る舞いの概要であれば確認できます。

詳細なレポートを出す場合は別途、マルウェア解析やEDR製品の導入が必要になりますけれども、このクラウドサンドボックスにて、ふるまい検知結果をある程度レポーティングできます。

このクラウドサンドボックス機能は、セキュリティ管理ツールがクラウド版のものでは、「ESET PROTECT Advanced クラウド」と「ESET PROTECT Complete クラウド」の2種類に実装されています。

また、クラウド環境におけるデータのやり取り、クラウド基盤経路のマルウェア感染におきまして、メールやストレージへのAttack Surfaceに対するマルウェア混入、あるいは拡散のリスクが考えられます。

「ESET PROTECT Complete クラウド」では、Microsoft 365のクラウド環境におけるデータのやりとりやメール送受信におけるマルウェア混入・拡散リスクという攻撃対象領域に対して初期段階で防御することができます。

Microsoft 365の標準セキュリティ機能をすり抜ける脅威を、ESETの多層防御テクノロジーで防御します。こちらはAPI連携となりますので、簡単かつスピーディに導入・運用が可能です。エンドポイントに脅威が到達する前に対策が可能になりますので、多層防御という意味でも効果的かと思います。

こちらにも、先日クラウドサンドボックス機能を標準実装しましたので、検出スピードをより早くすることが可能になりました。API連携することで簡単にすぐに導入が可能で、効果が高い機能と言えます。

サイバー攻撃被害に遭わないための対策

本日のまとめになります。2022年にケアするべき3点を上げてESETが検討に値するかを検証しました。

「Attack Surfaceを減らすための投資として、何が効果的か」という問いに対しては、多層防御機能をPC、スマートフォン、タブレットなどに実装でき、Microsoft 365への対策を実施できます。また、短期間の導入と機能向上があります。

「2つめの壊滅的な被害をもたらすマルウェア防御」については、クラウドサンドボックス機能などを用いることにより、高度で巧妙なマルウェア対策をより初期に素早く行い、未然に被害を防ぐお手伝いができると考えます。

そして3つめの「少ない人的リソース前提のインフラ検討」という観点では、すべてクラウドで複数のESETセキュリティ製品群の統合管理が可能となりますので、少人数での運用が可能です。

以上よりエンドポイントの見直しには、ぜひESET PROTECTソリューションの検討をお願いできればと思っておりますので、よろしくお願いします。

最後に、当社ではオウンドメディアとしまして、「サイバーセキュリティ情報局」というWebサイトで、無償で情報を提供しております。こちらはESETの契約有無に関わらず、みなさまにアクセスいただけますので、ご覧いただければと思います。

以上です。ご清聴いただきましてありがとうございました。