SouthPlume                                               情報セキュリティの選りすぐりの技術と信頼を届けます

                                   

SIPSセキュリティレポート 2023年1月11日号

***************************************************************
  2023年中国・北朝鮮からのサイバー攻撃が更に激化 !?
***************************************************************
2023年が始まりました。 新年あけましておめでとうございます。
今年は穏やかな良い1年でありますようにと願うばかりですが、皆様は年末年始をどのように過ごされたで
しょうか?
本年もサイバー攻撃やサイバー闇市場のプチ情報をレポートしますので、皆様のサイバーセキュリティ対策
の参考にしていただけると幸いです。

サイバー攻撃という観点からは、例年年末年始に入ると企業や組織が長期休暇に入り攻撃検知が遅れ、
多くのサイバー攻撃被害を出す時期の一つであり、この年末年始も例外ではなく様々な事が起きた。

昨年12月、富士通の法人向けインターネット回線サービス「FENICSインターネットサービス」に対する
不正アクセスが確認され大きなニュースになった。更に年末28日には、広島県の新型コロナウイルス抗原
キット申込サイトにDDoS攻撃が発生し、同サイトが10時間半アクセスできなくなった。
年明け3日、東京都渋谷区のサイトにもDDoS攻撃が発生し、サイトの閲覧がしずらい状況が続いた。
これらはニュースになった印象的なサイバー攻撃だが、実際はこれだけではなく、他にも多数の攻撃が存在
している。

2022年はネットニュースで公開されただけでも、サイバー攻撃は500件以上がニュースになっている。
とりわけ、年初に発生したトヨタ自動車関連企業や医療関連へのサイバー攻撃は大きなニュースとして
取り上げられたが、それ以外に多かった被害は、大学や高校といった教育機関へのサイバー攻撃があった。

北朝鮮のサイバー攻撃集団は大学教授らを狙い個人データやメーリングリストを窃取し、ランサムウェアに
よる攻撃も行われた事が確認されている。
このサイバー攻撃の目的は、重要な研究データの窃取と国家機関に関連する情報を窃取することが最終
的な目的とされ、その攻撃の一つであると考えられている。
北朝鮮や中国などの国家支援のハッカー集団は、原子力産業や宇宙、半導体、国防、対北朝鮮戦略、
対中国戦略に関する情報や技術を盗み出すことが目的で2023年は継続して攻撃が激化する可能性が
ある。

日本の教育機関へのサイバー攻撃は2022年下半期だけでも20件を超え、ほとんどがメールアカウントを
乗っ取りスパムメールを送信するといった攻撃であったが、これは最終目的前の攻撃で情報窃取マルウェア
を拡散させて、各種ログイン情報を窃取することが最初の目的であると考えられる。
これを放置するとログイン情報が次々と流出し、ログイン情報を使ったなりすましログインにより情報が盗み
取られてしまうことになり、中にはランサムウェアによる被害を受ける場合もある。

SIPSの調査でも、2022年は過去最高の数のサイバー脅威情報をサイバー闇市場から確認していて、
その書き込み(スレッド)数は1500件にも上った。
そこには政府・公共機関や金融機関、医療関係、一般企業への攻撃により窃取した情報の売買などが
多数確認されていて、流出し売買されている情報は個人情報以外に身分証に関する情報や口座情報、
クレジットカード情報など様々な情報が山積している。

サイバー闇市場の動向としては、流出情報だけでなく、各種人気ブランドのフィッシングソースコードの販売
や各種セキュリティ認証の代行、サーバのログイン情報の販売、ハッキング代行などサイバー攻撃やサイバー
犯罪を支援する技術やサービスを提供するという書き込みが大幅に増加した事が特徴的である。

では、年々サイバー攻撃被害が増加する中、2023年はどのようなサイバー攻撃が発生するだろうか?
サイバー攻撃は特に社会情勢の変化や経済状況の混乱、国家的な各種イベントが開催される時期に
増加する傾向があるが、そういう意味では今年は多くの政治的イベントやスポーツイベントが開催される。
3月には野球のWBC、5月にはG7広島サミット、7月にオーストラリアで女子サッカーワールドカップ、8月
には米国で世界陸上、11月にはフランスでラグビーワールドカップなどが予定されている。

世界情勢では、ロシアとウクライナ抗争の長期化、中国の台湾有事や外洋進出、北朝鮮の核実験と
ミサイル発射など不穏な動きが多く、経済状況は言うまでもなく混乱期に突入していて関連したサイバー
攻撃がいつ発生してもおかしくはない状況である。

その中で、サイバー攻撃として注意する攻撃としては昨年同様に以下の3つを挙げておきたい。

【ランサムウェア攻撃】
ランサムウェアに関しては、企業は未だに自社のサイバー攻撃対策能力を理解していない、危険な状態
である。米セキュリティ会社調査によると、IT意思決定者の77%が、自社のサイバー脅威を防ぐ能力に
対して「非常に自信を持っている」という結果が出た。  しかし、実際にその74%が複数のインシデントを
経験している事が分かったという。
サイバー攻撃者は想像以上に優秀で綿密な計画の上、攻撃してくるという事を分かっていないのである。
攻撃手法や侵入経路も進化を続け、もはや自社だけでなく取引先のサプライヤーネットワークから侵入
するケースまで確認されていて、自社だけを守ればよいという状況ではなくなってきている。
2023年も昨年以上にランサムウェアによる被害は増加すると考えられる。

【フィッシング攻撃】
フィッシング攻撃では、攻撃者が信頼する人物、例えば、会社の最高経営責任者や役員、サプライヤー
などを装い、メールやSNS、SMSなどコミュニケーションツールを使ってコンタクトするため、ユーザがそれを
見抜く事は難しくなっている。

更に、位置情報や個人情報の取得の許可から相手を特定し被害が拡大している。AI技術を使って文章
の違和感を排除し、経営陣などを狙うスピアフィッシングなど、ますます標的型になることが想定される。
企業はサイバー攻撃者による侵入を想定し、侵入後の活動を特定し、攻撃者の動きを止めるための技術
を備える必要がある。

とは言え、2022年1年間で筆者に送られてきたフィッシングメールは約3000通あった。
もちろん対策済で、自動で特定のボリュームに排除しているが、普通にこれだけ来ると間違ってアクセスする
可能性は否定できない。
フィッシング対策は受け取る人間の判断が一番重要なので、きちんと対応することをお奨めしたい。

【マルウェア攻撃】
マルウェア攻撃は、戦略的な手法へと進化しているが、攻撃者の侵入経路は変わっていない。
米国セキュリティ企業の調査では、依然としてSMB/SSH/Telnetといった古く、安全ではないプロトコルを
使用している企業が多く、攻撃者が簡単に侵入するための“アクセスポイント”となっていると警鐘を鳴らして
いる。

また昨今ではフィッシング攻撃によってマルウェアを挿入させる手法が主流になっていて、挿入された時点で
有害無益な形式であるファイルはセキュリティ検知も回避してしまう。しかも自身をコピーしてレジストリーや
メモリーなどに潜伏させ特定動作による発動のタイミングを待つのである。
発動後に初めて悪性プログラムに進化し悪さを始めるのである。Information Stealerが昨今の代表的
マルウェアであり、これに感染すると各種ログイン情報や個人情報を窃取され、感染PCのアドレス帳を使い
スパムメールを送信し感染を拡大する。またボットネットに接続され、そこを経由して攻撃者に情報が流出
するという仕組みである。

その後、流出したログイン情報を使い、なりすましログインによって次のターゲットとなる情報を窃取するので
ある。 なりすましている以上、セキュリティ機器から見ると正規のログインであり、検知することは出来ない。
こうなると、なりすましたログインアカウントの利用権限の範囲で自由にできるという事になる。

闇市場に存在する「Information Stealer」による流出ログイン情報を見てみると、数えきれないログイン
情報が存在していて、企業や特定サイトなどのドメイン情報を特定してみても多数のログイン情報が確認
することができる。
昨年多発した大学関係者の「メールアカウントが乗っ取られた。」というセキュリティ事故は、このようにして
メールアカウントを乗っ取られた可能性が高い。もちろんWebサーバでも同様で詳細情報が入手出来て
ネットワーク構成が分かってしまえば、内部にまで侵入され重要情報が窃取される。
更にはランサムウェア攻撃をされることもあるという事になる。

▼2023年のサイバー攻撃はどうなるか?
今年は、WebのDBを狙うだけでなく、バックアップサーバーを狙う攻撃も増加すると考えられる。
一方、コロナ禍の影響からリモートワークの増加でクラウド環境を利用したビジネスの形態が増加している。
このクラウド環境を標的としたサイバー攻撃も昨年から増加してきていて、今年は一層増えると考えられる。
クラウドサービス側は基本的なセキュリティを提供しているが、それだけでは十分ではなく、利用するクラウド
サービスがどのようなセキュリティ対策を実施しているのか確認する必要があるだろう。
そして、そこから流出事故が起きたらどうするか?という事も考えておかなければならない。

業種や分野でいうと生活インフラ関連の企業や団体への攻撃は間違いなく増加すると考えられる。
サービスが停止することで国民の生活に大きな影響を与える企業は、真剣にサイバーセキュリティの対策を
取らなければ大きな問題が発生し、事業継続、会社経営の危機にまで発展する可能性もある。

▼サイバーセキュリティ対策
ランサムウェア/フィッシング/マルウェア以外にも攻撃は多数あるが、これらの攻撃に対応するセキュリティ対策
としては、「マネージドサービス」を使って不正通信を検出する方法や、エンドポイントにおける検知に対応する
EDR、ネットワーク型脅威の検知に対応するNDRなどがある。
しかしこれらは全て受動的なセキュリティ対策であり、攻撃された時に適合すれば検出するという方法になる。
しかもセキュリティ検知回避技術を持つ攻撃者の通信を検出するのは困難になってきているのも事実であり
既存のセキュリティ対策だけでは限界が見えてきている。

今後は能動的に攻撃者の動向や考え方、攻撃手法などを事前に入手する脅威インテリジェンスサービスを
上手に利用していく事が重要になるが、脅威インテリジェンスだけでも対策は出来ない。
脅威インテリジェンスと既存のセキュリティ対策を組み合わせる事で、被害の最小化を図るセキュリティ対策が
実現する。
世界的に脅威インテリジェンスが注目され、海外では政府機関だけでなく民間企業でも広く利用されているが、
日本では、まだ極一部でしか利用されていない。
世界に追いつくためにも、新しい視点で考え、今まで以上のサイバーセキュリティ対策が必要になる。

2023年は益々攻撃経路も多様化し、攻撃手法も進化する事は間違いない。
世界情勢や経済状況、各種イベントの開催などサイバー攻撃が発生する可能性も非常に高い。
サイバー攻撃で被害が発生すれば、数百万、数千万、数億円という被害が発生することは分かっている。
経営陣はサイバー攻撃を事業継続リスクとして捉え、どのような対策をする必要があるか、サイバーセキュリティ
対策にリソースを割いていく考えが求められる。
***************************************************************
<参考URL>
47NEWS(共同通信):2022/12/28
広島県にサイバー攻撃 抗原検査キット申請用サイト
https://www.47news.jp/8750631.html

朝日新聞DIGITAL:2023/1/3
渋谷区サイトに障害、サイバー攻撃か 野宿者のいた公園封鎖が背景?
https://www.asahi.com/articles/ASR136HHTR13OXIE008.html

Cyber Security.com:2022/12/26
奈良県医科大学、マルウェア感染で迷惑メールや情報流出懸念
https://cybersecurity-jp.com/news/76621

NHK:2022/12/26
韓国 “北朝鮮が偽サイトに誘導 情報だまし取る” 警戒強化
https://www3.nhk.or.jp/news/html/20221226/k10013935401000.html

KOREA WAVE:2022/12/30
民間の手を借りてサイバー攻撃に対抗…韓国国情院「安保協力センター」

                                  Home     製品情報     サービス     会社情報     お問い合せ

Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved