SouthPlume                                               情報セキュリティの選りすぐりの技術と信頼を届けます

                                   

SIPSセキュリティレポート 2022年3月30日号

***************************************************************
 サイバー攻撃激増と改正個人情報保護法施行。日本企業は耐えられるか?
***************************************************************
全世界的にサイバー攻撃は拡大しているが、ロシアのウクライナ侵攻を機にその数は急増している。
日本に対するサイバー攻撃も同様で、かつてない数のサイバー攻撃が発生していて、毎日ネットの
ニュースでは様々な攻撃被害のニュースを目にする。

帝国データバンクの調査では日本企業の約3割がサイバー攻撃被害を受けていて、その中の約55%
が中小企業だという。
通常サイバー攻撃に関しては、最終的に金銭を目的とする攻撃がほとんどであるが、現在のサイバー
攻撃を分析してみると金銭には関係なく、ロシアのウクライナ侵攻に対する経済制裁の報復と思える
ような攻撃も多数確認されていて、Emotetとランサムウェアによる攻撃が圧倒的に多い。

このどちらも起源はロシアと言われていることから、報復攻撃と考えてもいいだろう。
もちろん、今までもEmotetやランサムウェアの被害は多数確認されているが、最終的には金銭がチラ
ついていた。ランサムウェアの場合、身代金を要求され支払う企業もいるが、けして安価な額ではない。
つまり、中小企業にランサムウェア攻撃を行っても、高額な身代金は払う事はできないという事になる。
それでも攻撃が増えているのは何故か?金銭が得られなくても日本企業のシステムが止まり、日本の
経済に影響が出ればそれでよい。という考え方で攻撃している可能性が高い。

攻撃の中で特に多いのは悪性マルウェアのEmotetでメールの添付ファイルなどにアクセスさせて感染
させる手法が一般的で各方面から感染の報告が上がっていてその数は尋常ではない。
前回、前々回の当レポートで解説した通り、Emotetを作ったハッキンググループの目的はボットネット
の構築が主目的で、このボットネットを他のハッキンググループに有償で貸し出すといった闇ビジネスを
行っている。

Emotetは、PC内のメール等の情報を盗み任意の第三者にEmotet拡散目的のメール配信をする。
ここまでは誰もが分かるだろう。しかし感染してどんな影響が起きているか考えてみてほしい。
ニュースで見るEmotetに感染した会社のコメントでは、大きな被害報告は上がっていない。

つまり、Emotetの目的は他にあるという事である。
このマルウェアの主たる目的は【ボットネットの構築】と【バックドアの設置】である。
しかも感染後に自身をコピーしてPC内の分からない場所に隠蔽し、直接感染したPCに影響を感じ
させないから厄介である。

バックドアの機能で、Emotetハッキンググループの遠隔操作を受けてボットネットの一員として動く時
を待ち、任意のプログラムを実行させる事が可能で、別のサイバー攻撃グループも利用できる。
要するに、感染したボットネットを有償で提供する闇ビジネスを行う事がこのグループの最終目的なの
である。

その中の一つにランサムウェアグループがある。
ランサムウェアグループと言っても多くのグループがあると言われているが、その中の幾つかのグループは
Emotetによるボットネットを利用して攻撃をしていることが、今までも確認されている。

つまり、Emotetに感染するとPC内の全ての詳細検査の実施、もしくはPCの初期化によって完全に
削除しない限り、コピーされた分身が残っていて次の大きな攻撃で利用されてしまう事になる。
コピーされた分身は有用無害な形で残るため専用ツールでの検出も難しいのである。

これが、ロシアからの報復的な攻撃であるとしたならば、日本に対する攻撃は生活インフラを実施する
企業や政府を狙うであろう。
情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流、化学、
クレジット、石油など重要インフラとして指定されている分野の企業にサイバー攻撃が起き、サービスが
停止することになれば日本国民は大きな被害を受けることになる。
また日本を代表する大手企業であれば経済的なダメージを与えることができるということだ。

ボットネットを使ったDDoS攻撃であれば、ボットネットに属するマシンから、特定の機器に同時に通信
を行えば、処理性能が限界を超えるターゲットはシステムダウンをするしかない。

そしてやはり怖いのはランサムウェアであろう。暗号化されてしまえば、どうにもならない。
昨年も多くの企業がランサムウェア攻撃を受け、徳島の半田病院は復旧まで約2ヶ月2億円を投じて
新規システムを構築したというニュースは何度も報じられている。
それでも次々とやられる企業を見ていると首を傾げたくなる。
攻撃が来てから対応ができると考えているのだろうか?

興味深い資料があったので紹介しておきたい。
米国Splunk社が10種類のランサムウェアの暗号化速度を検証する興味深い結果を発表した。
準備したランサムウェアは「LockBit」「Babuk」「Avaddon」「Ryuk」「REvil」「BlackMatter」
「Darkside」「Conti」「Maze」「Mespinoza」の10種類を10サンプルずつ。
4種類の標的用プロファイル(53GB約10万file)に対してWindows 10とWindows Server
2019のマシンを使って暗号化テストを実施した。

▼ランサムウェア暗号化速度試験結果(hour:min:sec)
1.LockBit 00:05:50
2.Babuk 00:06:34
3.Avaddon 00:13:15
4.Ryuk 00:14:30
5.REvil 00:24:16
6.BlackMatter 00:43:03
7.Darkside 00:44:52
8.Conti 00:59:34
9.Maze 01:54:33
10.Mesplinoza(PYSA) 01:54:54
  Average  00:42:52

最も速く暗号化できたのはLockBitで、平均5分50秒。一番時間がかかったのはMespinozaで
1時間54分54秒。全10種類の平均は42分52秒であった。
この結果、ランサムウェアの攻撃を検知し対応できるのは平均3日ほどかかるというデータもあること
からすると、暗号化される前に検出して対策する事は難しいという事になる。
LockBitであれば、検知したとしても確認しているうちに暗号化が完了してしまうという事になる。

このデータを見ても分かるように、ハッカー達の技術は我々の想像を遥かに超えている。
「Emotetに感染したけど駆除したから大丈夫」などと言っているとサイバー攻撃者の思うつぼだ。
Emotetで機器がボット化されて、ランサムウェアグループに狙われれば、社内システムは情報を窃取
されて暗号化され、結果としてビジネスは止まり、多額な代償を払う事になる。

攻撃者はロシアだけでない、中国や北朝鮮にも不穏な動きがある。
隣国の韓国では、企業に対するサイバー攻撃の【危機警報レベル】を引き上げ注意喚起している。
日本に対するサイバー攻撃は圧倒的に中国が多く、年間1000億円以上の金品を割れている。
北朝鮮は暗号資産を中心に不正流出させて世界中から破格な金銭を不当に得ている。
政治的な関係から言うと、これらの資金がロシアに流れることもあり得るという事である。

SIPSの調査では、今年に入り中国からの脅威情報には、暗号資産取引所を攻撃して流出した
DB情報の売買を多数確認している。
そして28日には、まだニュースにはなっていない新たな日本国内大手企業へのサイバー攻撃による
大規模なDB情報の流出を確認している。

本日最後に伝えたいのは、間もなく4月1日から改正個人情報保護法が施行されるという事である。
これだけ情報流出させている日本企業は4月から対応できるのであろうか?
4月1日からは、流出した内容を正確に把握して所轄の機関に報告が義務づけられるのである。
これをしなければ罰金が待ち受けていて、虚偽報告や隠蔽など悪質であれば、最大1億円の罰金が
科せられる事になる。

攻撃を受けて罰金まで科せられたら数億、数十億という被害金額になり企業の経営状態は一変する。
しかしサイバー攻撃と改正個人情報保護法、どちらも無視できない。
今からでも間に合う、きちんとした対応を実施しておきたい。
---------------------------------------------------------------------------------
 <参考URL>
YAHOO ニュース:2022/3/26
日本企業へのサイバー攻撃急増。 サイバーセキュリティ人材が圧倒的に不足する日本の課題とは。
https://news.yahoo.co.jp/byline/yusato/20220326-00287061

ZDNet Japan:2022/3/25
ざんねんなセキュリティ--経営責任の丸投げを目的とした「名ばかりCSIRT」
https://japan.zdnet.com/article/35184875/

GigaZine:2022/3/25
北朝鮮のハッカーグループがChromeのゼロデイ脆弱性「CVE-2022-0609」を悪用していたと判明
https://gigazine.net/news/20220325-north-korea-hackers-chrome-zeroday/

ITmedia NEWS:2022/3/25
中央省庁、サイバー攻撃対策の徹底呼び掛け 経産省、総務省、警察庁、NISC連名で
https://www.itmedia.co.jp/news/articles/2203/25/news103.html


                                  Home     製品情報     サービス     会社情報     お問い合せ

Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved