「セキュリティ強化の好機」NISC 副センター長 吉川徹志氏が語る、日本のサイバーセキュリティ政策

ランサムウェアやEmotetなどによる被害が拡大

　冒頭、吉川氏は、最近の国内外における重大なサイバー攻撃事案について紹介した。2021年10月には、徳島県の町立病院でサーバーに侵入されて内部データが暗号化され、この攻撃によって3ヵ月にもわたって病院としての機能が一時停止した。また、2022年2月にはトヨタ社の取引先である部品メーカーが、リモート機器からネットワークへ侵入されてデータを暗号化され、車両製造工場がすべて停止することとなった。

　米国でも2021年5月に、コロニアル・パイプライン社の石油製品デリバリー用ネットワークパイプラインに関わるシステムのデータが暗号化され、身代金を要求された。このときは1週間にわたって創業停止に追い込まれ、さらに身代金を支払うことになったという。他にも、米SolarWinds社がITインフラストラクチャ監視・管理プラットフォームのアップデートが侵害され、マルウェアが仕掛けられるという高度な攻撃を受けた。これにより、政府を含む1万8000機関への組織に影響が生じている。

　吉川氏は「この1年で明らかにランサムウェアの被害が増大しており、この手法の出現によって状況が大きく変わっている」という。従来はサイバー攻撃を受けて情報を盗まれても気づかないこともあった。ランサムウェアの場合は事業停止や身代金の支払いなどで、経営的に大きな影響を受けることもあることや、暴露サイトに書き込まれることで攻撃を受けたことがいきなり公表されてしまう。警察庁の統計でも、令和2年下期と翌3年下期では報告数が4倍と大幅に増加しているという。

　また、2021年11月からEmotetの攻撃活動が再び急増しており、国内企業・組織から感染被害が公表されている。Emotetは取引相手になりすまし、メールを使って不正プログラムが含まれたファイルを添付するというもの。非常に巧妙であるため影響範囲も広い。現在は沈静化しているものの、周期的に現れ、そのたびに高度化しているという厄介なものだ。

　こうしたランサムウェアやEmontetの高度化やインパクトの深刻さについては、2022年3月に米国バイデン大統領が国内の重要インフラ事業者などに対して、ロシアのサイバー攻撃への警戒を呼びかける声明を発出している。吉川氏は「政府が民間に対して高度な情報を共有したということは、注目すべき対応の1つだと思われる」と評した。

　その他、コロナ禍での巣ごもり需要によってネットショッピング利用が増加したことでフィッシング詐欺が急増していること、サプライチェーンの複雑化によってネットワークやシステムに海外製品が多く利用されているため警戒が必要であること。そして、人材不足にともなうリテラシーギャップが引続き存在していることなどが紹介された。特に日本では事業会社におけるセキュリティ人材不足が大きな課題となっており、不足と感じている企業は米国で12.9％に対し、日本では90.4%にも上っている。

　さらに吉川氏は、IPA（情報処理振興機構）による『情報セキュリティ10大脅威 2022』を紹介。組織側のランキングでは1位が「ランサムウェア」、前述の米国Solarwindsが受けた「サプライチェーンの弱点を悪用した攻撃」が3位に入っており、4位がテレワーク関連を狙った攻撃となっている。そして、新たにランクインしたのが、7位の「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」だ。修正プログラムを必要とする脆弱性が発見され、パッチが当てられるまでの隙間に攻撃されるというもので、中には脆弱性公表のわずか15分に狙われたという例もあるという。

　また、サイバー攻撃の国際化も進んでおり、国家が背景にいると思われるサイバー攻撃グループによる事例もでてきており、各国と共同で外務報道官談話として示す「パブリック・アトリビューション」を直近2〜3年のうちにも何度か実施しているという。実際に、警察によるアトリビューションに基づき、JAXAの攻撃に使用されたレンタルサーバーの不正契約被疑者の検挙などにもつながっている。