トレンドマイクロ、22年上半期サイバーセキュリティレポート公開　サプライチェーンリスクが国内で顕著に

　トレンドマイクロは、日本国内および海外における最新のセキュリティ動向を分析した報告書「2022年上半期サイバーセキュリティレポート 『侵入』する脅威が浮き彫りにする『サプライチェーンリスク』」を公開したと発表した。

　法人に大きな被害を及ぼすサイバーインシデントの原因に、組織ネットワーク内への侵入が挙げられるという。また、組織ネットワークに侵入された後、自組織のビジネスパートナーや顧客にも攻撃や被害が連鎖してしまうサプライチェーンリスクの事例が世界で継続して発生しており、2022年上半期にはサプライチェーンリスクの事例が日本でも発生した。同レポートでは、組織のネットワークへの侵入原因やそれによって引き起こされるサプライチェーンリスクについて取り上げている。

　レポートの主なトピックスは以下のとおり。

サプライチェーンリスクが国内で具体化、被害原因はネットワークに直接侵入

　組織内ネットワークへ侵入するサイバー攻撃の中で、この数年、サプライチェーンに影響を与えるサイバーインシデントが目立っている。サプライチェーンリスクを起こす「サプライチェーン上の要因」の1つが「サプライチェーン攻撃」だという。

　サプライチェーンに影響を与えた最も大きな国内事例として、3月に公表された製造業・自動車部品メーカーにおけるランサムウェア被害がある。この事例では、リモート接続機器の脆弱性を悪用され、自動車部品を製造する企業がランサムウェア攻撃を受けたことにより、製造する部品の納入先である自動車メーカーが、直接のランサムウェア被害を受けていないにも関わらず、全国の工場での操業を停止させる事態となった。また、法人組織の海外拠点を侵害し、ネットワークを経由した水平移動により国内拠点へ侵入する「ビジネスサプライチェーン攻撃」も、継続して観測しており既に常套手段化したといえる段階だとしている。

　自組織を取り巻くサプライチェーン全体の安全を守るには、まずは自組織の安全を守るために、ソフトウェアの脆弱性対策や、設定ミスなどによる意図しない露出のチェックといった基本的な対策を徹底する事が重要。トレンドマイクロが対応した国内のインシデント調査では、外部から直接侵入された事例が目立っており、主に以下の3つの原因を確認している（図2）。外部から組織ネットワーク内へ直接侵入される事例は、主要なVPNで悪用可能な脆弱性が出始めた2019年頃から顕在化してきたという。

深刻度レベル緊急（Critical）の脆弱性が昨年同期比の5倍

　2022年上半期、トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative（以下、ZDI）」は、944件の脆弱性のアドバイザリを公開。ZDIが公開した脆弱性のアドバイザリ数は、前年同期比で約22.6％増加している（図3）。また、共通脆弱性識別子「CVE」を採番するMITREが公表した脆弱性数も同様に、増加傾向だった。

　ZDIが公開した脆弱性のアドバイザリのうち、緊急（Critical）の脆弱性は昨年同期比で5倍（16件→80件）となり、割合としては最も大きく増加。また、重要（High）も約16.6％（553件→645件）増加し、組織が脆弱性を残存させた場合に、被害が大きくなる可能性があることを示している（図4）。

法人組織の約85.0％に、悪用される可能性が高い脆弱性が残存

　新たに発見される脆弱性が増加する一方で、同社は既知の脆弱性（Nデイ脆弱性）を狙うサイバー攻撃を継続して検知しているという。また、同社製品を利用している法人組織の約85.0％で、該当組織が利用するソフトウェア、ビジネスツール、コンポーネントなどで悪用されやすい脆弱性を残存させていることがわかった（図5、8月第一週時点での調査）。これらの脆弱性は、その影響範囲が広範囲に及ぶ可能性があり、注意すべきタイプの脅威だとしている。

　近年、攻撃者はこのような悪用されやすい脆弱性が発見されると、非常に短期間で攻撃をしかけるようになってきている。たとえば、3月31日に、Java向けのアプリケーションフレームワークSpring Frameworkの脆弱性Spring4Shellが公開されると、同社製品で検出した該当の脆弱性を悪用するサイバー攻撃は4月にピークとなった（図6）。また、2021年12月に発見されたソフトウェアにログ出力のための機能を提供するLog4j関連の脆弱性（CVE-2021-44228）へのサイバー攻撃の検出数は約48億件に上る（図7）。

　新たに発見された脆弱性を狙うサイバー攻撃のスピードが速まる一方で、3年以上前に発見された既知の脆弱性を狙うサイバー攻撃も引き続き確認されている。同社が検知した脆弱性を狙うサイバー攻撃のトップ10のうち、3年以上前に公開された脆弱性を悪用する攻撃が7件あった。このことから、既知の脆弱性に修正プログラムを適用していない法人組織が多くあることが想定されるという。

主要な標的型ランサムウェアの国内流入が早まる傾向に

　国内における四半期ごとのランサムウェア検出台数はここ数年高止まりの状況といえるが、2022年第1四半期（2022年1月～3月）は5700件を超え、2019年以降最多となった（図8）。

　2022年上半期に国内で公表・報道されたランサムウェア被害をトレンドマイクロで整理、集計したところ、29件確認したという。これは、2021年1年間の53件を上回るペースであり、平均すると毎週1件以上の被害が公表されている状況。被害を公表した法人の中でも製造業での被害が全体のほぼ半分を占め最多となった（図9）。

　また、同社は、国内法人から被害が報告されたランサムウェア種別を分析し、世界的に被害が確認されているランサムウェア攻撃が日本にも被害を及ぼしている傾向を確認した。2022年上半期に全世界で活発だったランサムウェアLockBit、Conti、BlackCat（別名：alphv）の3種は、いずれも国内での被害報告を確認している（図10）。これらの世界的に流行しているランサムウェアに加えて、2021年に確認した新たなランサムウェアであるHiveや2月に確認したPandoraも国内での被害報告を複数件確認。特にPandoraは登場後すぐに日本国内で被害報告があり、新たに登場したランサムウェア攻撃の国内流入が早まっている傾向があるという。

復活したボット型マルウェア「EMOTET」　日本での検出数が最多に

　ユーロポールを中心とした各国の法執行機関の連携によりテイクダウンが公表され、一時活動が見られなかったボット型マルウェア「EMOTET（エモテット）」だが、2021年11月にボットネットの活動再開を確認した。同社は、2022年に入ってからテイクダウン前を越える検知数になっていることを確認しているという。EMOTETのダウンローダなどの関連モジュールと本体の検出を合わせた国内総検出台数は、2022年第1四半期（1月～3月）は過去最大となった（図11）。加えて、この検出台数は、全世界で国別に見ると日本が最多となっている（図12）。実際、EMOTETの感染被害を公表した法人の数は検出台数の動きと連動がみられているという（図13）。

【関連記事】
・電力などのICS環境利用組織に深刻なサイバー被害、約9割が事業活動に影響　トレンドマイクロが発表
・大企業の4割がサプライチェーンにサイバー攻撃被害　日経リサーチとトレンドマイクロが調査結果を発表
・日本のセキュリティリスク意識は実害に対して低い傾向　トレンドマイクロが調査結果を発表