日台におけるサイバー脅威の状況、NICTの成果は
日台情報セキュリティ交流セミナー2024では、情報通信研究機構(NICT)主管研究員である中尾康二氏と、国立台湾科技大学の情報工学系主任教授である鄧惟中氏(TACCプロジェクト担当)によるセッション、そしてTWISAに所属するセキュリティ企業10社によるセミナーが行われた。本稿では、NICTと国立台湾科技大学のセッションを紹介する。
セミナー冒頭に登壇したのは、NICTの中尾氏。「日本で観測されるサイバー脅威と日本におけるサイバーセキュリティ対策の動向」と題して講演を行った。そもそも総務省傘下のNICTは、ICT分野における日本唯一の国立研究機関であり、通信や電磁波、脳科学など多くの研究に取り組んでいる。サイバーセキュリティもその1つだ。
最初にIPA(情報処理推進機構)「情報セキュリティ10大脅威 2023」を示すと、上位にランクインしている「ランサムウェアによる被害」「サプライチェーンの弱点を悪用した攻撃」「標的型攻撃による機密情報の窃取」は、台湾でも同じような状況ではないかと投げかける。また、米国でカンファレンスに出席した際のNSA(アメリカ国家安全保障局)長官との会話を引き合いに出すと、米国では中国からのサイバー攻撃をいかに防ぐか、その一環として中国から台湾へのサイバー攻撃に注目している状況だと指摘。
中国は台湾に対して様々なサイバー攻撃を試験的に実施しており、そこで効果があると判断された攻撃が米国に対して行われるためだ。だからこそ、米国は日本だけでなく台湾ともサイバー脅威に関する連携を実現させたいという意思があるとする。
続いて中尾氏は、NICTが運用する「NICTER」を紹介した。NICTERは、ダークネットに存在する約30万の未使用IPアドレスの通信を観測・分析するシステム。マルウェアによるスキャンなど、通信をプロトコルごとに色分けしてリアルタイムに可視化する。これによると、マルウェアに感染したと思われるPCやIoTからの通信が台湾から発信されており、逆に台湾へは他国からDoS攻撃と思われる通信が届いているという。DoS攻撃は発信元を偽装するため、犯人がその国にいるとは限らない。
一方、こうした状況は日本でも大きく変わらない状況にあるとも指摘する。なお、観測数は2018年頃から大きく増加傾向にあるが、これはフリーのスキャンツール「SHODAN」などの調査スキャナーの増加も影響している。ポートでは、ルーターやWebカメラなどのIoTデバイスで使われる23番ポートへのスキャンが増えているとした。
また、ポートスキャンのパケットを送信してくるホスト数で比較すると、1日あたり日本は約4千ホストであるのに対し、台湾は約1万ホストと多い。ちなみに2023年10月には、日本で3万3千ホストを確認したことがピークだったが、このときは日本のサン電子製および台湾のHYTEC INTER製のルーターが多かった。SHODANで確認したところ、外部から管理用Webサイトにアクセス可能な状況にあり、これが感染源だと考えられる。NICTではこれらのメーカーに情報を伝えており、既に対策済みであることも確認しているとした。
次に中尾氏は現在の脅威として、ランサムウェア攻撃とIoTを狙う攻撃を解説。ランサムウェア攻撃は単にファイルを暗号化して“身代金”を要求するだけでなく、データを盗み出して公開すると脅すほか、DoS攻撃を行うなど「多重脅迫」が一般的になっている。また、身代金の支払い方法は暗号資産を指定することも特徴だ。
最近では医療機関への攻撃が話題になっているが、警察庁による被害企業の内訳を見ると中小企業が52%と最も多く、大企業も前年より増加して36%、業種では製造業が34%で最も多く、意外にも医療・福祉は5%となった。感染経路ではVPN機器が最も多く63%、これにRDP(リモートデスクトップ)が18%と続いている。
さらに復旧するまでの期間は1ヵ月未満が32%、1週間未満が24%、復旧費用は100万円未満が23%で最も多いが、1000万円未満が20%、500万円未満が19%と大きな差はない。加えて、94%がバックアップを実施しているにもかかわらず、83%が復元できていないという結果に。その理由として、バックアップまで暗号化されたケースが69%、運用の不備が15%という回答が得られた。
IoTではデバイスが増加傾向にあり、医療や産業用途、コンシューマー向け、自動車・宇宙航空といった分野で広がっている。一方、ネットワークカメラがインターネット側に公開されてしまっているケースもあり、ロシアにはそうしたカメラの映像を公開しているサイトがあるという。こうした脆弱なカメラの台数は米国が最も多く、日本が2位、台湾は4位という結果も報告されている。
その原因は、Telnetの23番ポートが開いているためだと中尾氏は警鐘を鳴らす。NICTではIoT向けのハニーポット「IoTPOT」を運用しており、IoTを狙うマルウェアを監視している。その一例として「Mirai」を挙げた。これは感染するとIoTデバイスをボット化し、感染デバイスによるボットネットワークを形成、DDoS攻撃などを行うものだ。Miraiは大量の亜種が出現しており、使用するポートも多岐にわたるなど攻撃も高度化している。
最後に中尾氏は、攻撃の多様化・巧妙化、IoTなど標的の拡大に対し、“効率的な観測”とAIの活用による“分析の強化”が必要であること、攻撃を予測するための攻撃情報の分析・共有プラットフォームの重要性、「スマートシティ、CPS、デジタルツイン」などを含むIoT/IIoT(インダストリアルIoT)や5Gソリューションにも適用可能な対策の導出が必要だと指摘。サイバーセキュリティを確保するための活動として、IoTセキュリティに関連する注意喚起、IoT適合性評価制度などにも言及する。
NICTで実施している大規模攻撃の観測・分析、セキュリティ製品の検証、日本版脅威インテリジェンスの作成・提供を行っているCYNEXを紹介。研究協力の視点からは、観測データの共有、分析結果(データ)の共有・協力、ステークホルダーとの共同研究の推進が日台で求められるとしてセッションを締めくくった。