ドワンゴ情報漏洩事件で生じた「サイバー野次馬」問題とは？piyokango氏が語る見慣れた脅威の変化

「見慣れた脅威」は不変ではない

　多くの組織や担当者は、「ランサムウェア」や「フィッシング」といったキーワードを聞くと、「またか」「もう対策済みだ」と安易に考えてしまいがちだ。しかし、IPA（情報処理推進機構）が毎年発表する「情報セキュリティ10大脅威」のランキングを振り返ると、ランサムウェア攻撃や標的型攻撃など、一部の脅威が長年にわたり上位に居座り続けている現実がある。

　たとえば、ランサムウェア攻撃による被害は2016年に初選出されて以来、10年連続でランキング入りを果たしており、この事実は一見すると脅威が「不変」であるかのように映る。しかし、10年以上セキュリティ事象のファクトを追い続け、SNSやブログなどで情報発信を行っているpiyokango氏は、その裏側に絶え間ない変化が隠されていると語る。

　「見慣れた脅威の影には、“常に進化を続ける攻撃者”の存在があります。その進化のスピードは、対策を講じる側の想像をはるかに超えることもあるのです。『いつもニュースで見ているから』と安易に片付けるのではなく、『なぜいまだにニュースで見かけるのだろうか』と自問することが重要です。この問いは、見慣れた脅威に対する誤った認識を打ち破り、その本質に迫るためのカギとなります」（piyokango氏）

ランサム攻撃のビジネスモデル化による企業への影響

　講演では「見慣れた脅威」の代表例として、ランサム攻撃とソーシャルエンジニアリングが紹介された。まず、ランサム攻撃について「今まではランサムウェアと呼ばれていたが、最近は『ウェア』をとった『ランサム』という名称を用いることも多い」とpiyokango氏。その背景として、ソフトウェアを使用せずに攻撃する手法が台頭してきていることが挙げられる。

　そのほか、昨今のランサム事例を踏まえて気にすべき動向のひとつとして「エコシステムの変化」が挙げられた。従来のランサム攻撃は単独犯によるものが多かったが、近年は「RaaS（Ransomware as a Service）」というビジネスモデルが確立され、分業体制が敷かれている。エコシステムは、主に以下3つの役割に分かれているという。

• イニシャルアクセスブローカー（IAB）：標的組織への侵入経路を確保する。フィッシングや脆弱性悪用など、さまざまな手口を用いて侵入手段を確保し、その情報を売買する
• アフィリエイト：購入した侵入手段を使って実際に攻撃を仕掛ける
• RaaS運営者：アフィリエイトに強力な暗号化ツールや身代金交渉のプラットフォームを提供し、成功報酬として収益の一部を受け取る

　「このエコシステムにおいて厄介な点は、特定のメンバーが法執行機関に摘発されたとしても、代替者が多数存在するため、攻撃が沈静化することなく継続するところです。また、活動者の数が多いため、攻撃の手口も多岐にわたります。フィッシング攻撃が得意な集団、マルウェアを使用して認可情報を取得することが得意な集団など、それぞれに得意な攻撃手法があることが、対策を難しくしている要因のひとつでしょう」（piyokango氏）

　また、ランサム攻撃の顕著な変化として、サプライチェーン攻撃の増加も挙げられた。近年、委託先の企業が攻撃を受けることで、取引関係にある複数の委託元組織にまで被害が波及する事例が相次いでいるという。委託先は委託元から業務に必要な機密情報を共有されているため、委託先が攻撃されるとその情報が盗まれ、委託元も間接的な被害者となる。

　委託元は、委託先の業務状況を常に把握することは難しく、インシデント発生時には対処が後手に回りやすい。さらに、複数の委託元が存在するケースでは、調整コストが増大しインシデントへの対応が遅れるといった問題も顕在化している。