サイバーセキュリティクラウドは、2020年(2020年1月1日〜12月31日)を対象とした、サイバー攻撃検知レポートを発表した。
2020年のサイバー攻撃検知状況
2020年1月から12月の間に検知したサイバー攻撃の検知数は334,932,032件だった。これは1年間の間、約10秒に1回のペースで攻撃を検知していたことになるという。さらに1sid(sid=Security Identifier:ネットワークのユーザーアカウントやグループなどを一意に識別するセキュリティ識別子)あたりでは、平均21,059件/月の攻撃を検知。2019年と比較すると約10%増加しており、過去3年間で最多の検知数となっている。
なかでも5月が最も多くのサイバー攻撃を検知しており、新型コロナによって多くの企業がテレワーク等のニューノーマルな働き方にシフトし、オンラインでの対応が増えたことなどが影響したと考えられるという。また2020年1月から6月の上半期を見ると、1sidあたり平均22,593件/月の攻撃を検知。これに対して7月から12月の下半期は、1sidあたり平均19,525件/月と約13.5%減少した。企業の夏季休暇を含む7月・8月は比較的多くの攻撃を検知したものの、その後は減少傾向が続いたとしている。
新型コロナ発生による緊急事態宣言の前後で検知状況に変化
攻撃の多かった上半期における攻撃数のデータにおいて、新型コロナウイルスの感染拡大による緊急事態宣言の発出前後で1日あたりの平均攻撃数を比較した結果、4月7日〜5月25日の緊急事態宣言期間中においては1日あたり909,158件の攻撃を検知し、宣言発出前である1月1日〜4月6日間の1日あたりの平均攻撃数に対し19%以上多い結果となった。
また緊急事態宣言が解除された5月26日から6月30日の1日あたりの平均攻撃数は、809,252件と減少したものの、宣言発出前と比べると6%程度増加した。新型コロナの感染拡大が懸念されている中、再び緊急事態宣言が発出されており、前回同様に発出期間中は攻撃数が増加している可能性も考えられるため、改めてサイバー攻撃への警戒を強める必要があるという。
攻撃種別ごとの検知数と攻撃動向
今回の調査期間における、主な攻撃種別の攻撃状況を見ると、脆弱性スキャンツールなどを利用したBotによる攻撃である「Blacklisted user agent」が全体の39.9%を占め、次いでWebサーバーを構成するソフトウェアの脆弱性に対する攻撃である「Web attack」が28.3%、攻撃の対象を探索・調査したり、無作為に行われる単純な攻撃で脆弱性を探す方法である「Web scan」が11.1%と続きました。
新型コロナ禍において「Web attack」が急増
2020年の攻撃種別ごとの攻撃件数と2019年の同時期のものを比較すると、攻撃種別の上位3項目について、「Blacklisted user agent」は約1.6倍、「Web scan」は約1.4倍程度の増加率であったことに対して、「Web attack」は約2.5倍増加している。さらに2020年1月1日から1月31日において「Web attack」が攻撃全体に占める割合は18%程度であったのに対し、5月1日〜30日の間では29.8%にまで増加しており、新型コロナの感染拡大とともに、「Web attack」の脅威が高まったことが判明した。
攻撃方法が多様化
本調査期間における攻撃種別ごとの攻撃検知結果と2019年の同時期のものを比較し、各攻撃が全体に対して占める割合を比べたところ、「Web attack」を除いて、「Blacklisted user agent」や「Web scan」、「SQL injection」、「Brute force attack」など、攻撃数の上位にある攻撃方法が占める割合が減少している。2020年に入り、攻撃の方法が「Web attack」に集中している可能性の他に、攻撃手法の幅が広がり、多様化している可能性が考えられるという。
主な脆弱性に関する攻撃状況
「WordPress Plugin」の脆弱性を狙った攻撃
WordPressの機能を拡張するためのツールである「WordPress Plugin」の脆弱性を狙った攻撃が、9月中旬から大幅に増加し、その後一旦減少したものの、11月に向かうにつれ再び増加している。これは同時期にWordPress用Plugin「File Manager」の脆弱性が見つかっており、この脆弱性を標的にした攻撃が増加した可能性が高いと考えられる。
「Oracle WebLogic」の脆弱性を狙った攻撃
Oracleが提供するアプリケーションサーバである「Oracle WebLogic」の脆弱性を狙った攻撃が5月以降徐々に増加しており、一旦減少したものの12月14日には年内最高値を計測した。Oracle WebLogicの脆弱性が10月に公表されていることから、公表前まで脆弱性を標的にしたアクセスが増加していた可能性が高いとしている。
その他の脆弱性を狙った攻撃
「ServerSideRequestForgery」は、外部から到達できない領域にあるサーバーなどに対して、バグを悪用することでリクエストを送る攻撃手法である。一般的には、対策を施そうとするとサーバーの機能を阻害してしまうなど、攻撃手法の中でも対策が難しい攻撃とされ、7月から8月にかけて急激に増加しその後大幅に減少している。
また、プログラム言語のPHPを実行ファイル形式で動作させる「php cgi」やPHPでの単体テストを行うフレームワークである「PHPUnit」の脆弱性を狙った攻撃が7月に突出して増加。さらに、フォーラムサイト構築ソフトである「vBulletin」の脆弱性に対する攻撃は8月後半から9月にかけて急激に増加し、Javaフレームワークである「Spring Boot」に対する攻撃が7月半ばから徐々に増加しているという。
サイバーセキュリティクラウド代表取締役社長 兼 CTO 渡辺洋司氏のコメント
新型コロナの影響によって人々の生活様式が大きく変化した2020年において、国内のサイバーセキュリティ事案を振り返ってみると、9月に問題が表面化したドコモ口座の不正利用事案や、11月に発覚したカプコンにおける最大35万件にも及ぶ顧客情報流出事案などが話題になりました。中でもカプコンのケースは、コロナ禍で需要が高まるオンラインゲームサービスをターゲットにした攻撃であり、同様にこうした状況下で需要拡大が見込まれるサービスでは十分な警戒が必要と言えます。
また2020年は、過去3年間の調査において最多の攻撃数を検知し、中でも上半期は特に多くの攻撃を検知しました。緊急事態宣言の発出前後で攻撃数に変化も見られ、新型コロナによる働き方の変化の影響も見られました。
このように多数の攻撃が検知された中、公表に至った事例は一部のみで、他にも多くの企業が発覚にすら至っていない可能性も考えられます。新型コロナ禍においてサイバー攻撃は増加、多様化しており、さらに改正個人情報保護法の成立によって個人情報漏洩に対する企業の責任も重くなるため、企業規模を問わずWebサイトを保有する組織は、一度自社のサイバーセキュリティ対策が十分かを見直すことも必要です。