{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
2022-06-24
サイバー攻撃者は日々、新しい手法や技術を取り入れて企業を狙ってきます。そのため、サイバー攻撃の発生を見聞きしてからセキュリティ対策を検討したのでは、対策の導入が完了した時にはすでにその効果は十分でなくなっている恐れがあります。したがって、自組織に対するサイバー攻撃を予測し、計画的に備えていくことが肝心です。
そこで、自組織に発生し得る脅威を予測し、脅威が発生した際に対応できるように備える「サイバーインテリジェンス」という取り組みが求められています。
PwCでは、PwCグローバルネットワークを通じて共有している世界中のサイバー脅威情報を活用し、日本という地域・日本企業に特化したサイバーインテリジェンスを提供しています。これにより、「攻撃者の意図・能力の分析および把握」「クライアントに起こり得る脅威の予測」「予測の蓋然性の評価、および対策の提言」を行い、日本企業が高度なサイバー攻撃に対応することを支援しています。
本稿では、PwCのサイバーインテリジェンスをもとに、今後日本の企業が注意すべきサイバー攻撃シナリオを検討し、経営者がサイバー脅威に先行するセキュリティ戦略を立案する一助となるよう、今から取り組むべき対策を例示します。
サイバー攻撃の意図や能力、攻撃を実行可能にする機会を踏まえた分析を行なうことで、サイバー脅威を予測し、能動的に対処することができます。重要なポイントは、自組織を狙う具体的な脅威アクターを想定することです。これにより、より現実的な脅威を予想することができます。
今回は、日本政府が注視している、中国、北朝鮮、ロシアを拠点に活動する高度なサイバー攻撃(APT)グループを脅威アクターとして設定します。中国と北朝鮮のAPTグループは、日本企業に対して繰り返しサイバー攻撃を行なっており、日本政府は名指しで非難しています。ロシアのAPTグループは、日本を含む西側諸国を標的としており、社会インフラやサプライチェーンを狙い、社会的に影響の大きい攻撃を行なっています。これら脅威アクターの意図、能力、日本の社会環境に基づき、日本の企業が注意すべき3つのサイバー攻撃シナリオを以下のとおり検討しました。
シナリオ①で想定する脅威アクターは、中国を拠点とするAPTグループです。中国のAPTグループの中には、軍事技術や先端技術といった機密情報の窃取を目的とするサイバー攻撃を行なっているグループがあります。例えば、日本の民間企業や学術機関など広範な組織に対して攻撃を行なったことのあるRed Apollo(APT10)2は、典型的な標的型メール攻撃をきっかけに標的組織に侵入します。
標的型メール攻撃の特徴は、人間の油断や隙といった心理的な弱点を狙う「ソーシャルエンジニアリング」であることです。このソーシャルエンジニアリングを高度化する技術として、本物と区別することが難しい映像や文章をAIで作成する「ディープフェイク」の悪用が警戒されています3。AIの研究・開発、社会実装が盛んに進められている中国では、ディープフェイクを使った犯罪が増加しており4、サイバー攻撃への悪用も懸念されます。加えて、日本はディープフェイクを含むディスインフォメーション(偽情報)対策が遅れており5、攻撃者にとって魅力的な技術となる可能性があります。
在宅によるソロ(単独)ワークで周囲の助けを得難い状況では、ソーシャルエンジニアリングを検知することは一層困難です。ディープフェイクによってソーシャルエンジニアリングの成功率がさらに高まるとなれば、経営層やシステム管理者など機密情報へのアクセス権を持つ者や、社内で信頼されやすい役職者を一足飛びに狙う攻撃が増加すると考えられます。
例えば、機密性の高い情報へのアクセス権を入手するため、経営層に照準を絞り込んだサイバー攻撃が行なわれる、というシナリオが考えられます。始めに、広報資料やSNSなどの公開情報を元に、経営層向けにカスタマイズしたディープフェイクを作成します。これを使って巧妙に経営層を騙し、攻撃者と悟らせずに自ら認証情報や内部情報を送るように仕向けます。攻撃者は、入手した情報を悪用して、社内外にフィッシングメールを送付したり、侵入を拡大して目的の先端技術情報を窃取したりするのです。
今後取り組むべき対策の提言
シナリオ②で想定する脅威アクターは、北朝鮮を拠点とするAPTグループです。北朝鮮のAPTグループの中には、金銭窃取を目的とするサイバー攻撃を行なっているグループがあります。例えばBlack Artemis(Lazarus)は、世界中の金融機関や暗号通貨取引所に不正アクセスし、現金や暗号通貨を盗み出しています。
昨今、北朝鮮のサイバー攻撃グループによるランサムウェア攻撃が増加しています。Black Artemisも独自のランサムウェアを開発しており、日本でも攻撃が確認されています。
ランサムウェア攻撃を行なうグループの中には、ダークウェブやチャットグループで標的組織の内部協力者を募集し、攻撃に加担させようとするグループも現れています。内部協力者を得ることができれば、検知されることなく、標的ネットワークのより深部でランサムウェアを実行することができます。APTグループは以前より協力者の獲得工作を戦術に採用しているため、北朝鮮のAPTグループがランサムウェア攻撃に内部協力者を利用することは十分に考えられます。実際、北朝鮮のAPTグループは、クラウドソーシングサイトに登録しているフリーランスエンジニアを協力者に仕立て、海外企業からシステム開発を請け負い、特権アクセスを入手していることがわかっています6。協力者の獲得やシステム開発は、身元を隠した北朝鮮のITエンジニアが担っています。
PwCの調査では、新型コロナウイルス感染症(COVID-19)のパンデミック回復期にある今、多くの日本企業が海外市場を成長マーケットと捉え、海外事業の強化・拡大を目指しています7。しかし、国内と海外拠点のセキュリティガバナンスを比較すると、海外拠点では態勢が十分に構築されていない傾向にあります8。セキュリティに力を入れている企業であっても、海外拠点と本社はセキュリティ意識の高さにギャップがあり、現地の従業員が内部協力者として攻撃に加担してしまう可能性が考えられます。
APTグループが内部協力者を獲得する場合、掲示板やチャットなどの公開された場で募集するのではなく、SNSなどを通じて特定の従業員に秘密裡に接触すると考えられます。信頼関係を構築する、弱みを握る、報酬を提示するなどして、海外拠点の従業員を内部協力者に仕立て、社内にランサムウェアを展開させます。ランサムウェアは時間をかけて海外拠点から日本本社まで感染を拡大させることも考えられます。攻撃者が意図したタイミングで暗号化を開始すると、システム、そしてサービスが停止し、その影響は社外にまで波及する可能性があります。
今後取り組むべき対策の提言
シナリオ③で想定する脅威アクターは、ロシアを拠点とするAPTグループです。ロシアのAPTグループの中には、政治や社会を混乱させることを目的に、社会インフラに対してサイバー攻撃を行なっているグループがあります。例えばBlue Echidna(Sandworm)は、2015年と2016年にウクライナの電力施設に対してサイバー攻撃を行い、大規模な停電を引き起こしました9。今日では、ロシア・ウクライナ情勢の緊迫化に伴い、「ワイパー」と呼ばれる破壊型のマルウェアによるウクライナの電力施設への攻撃が確認されています。過去には、Blue Echidnaが日本の企業に対してサイバー攻撃を行なったことも確認されており、注意が必要です。
社会インフラを構成しているOT(Operational Technology)システムは従来、独自に開発され、閉ざされた環境で利用されていました。しかし現在は開発コストの削減、運用効率の向上、データ利活用などを目的に、仕様の統一化・汎用化、ITシステムとの統合が進んでおり、サイバー攻撃を行う技術的なハードルが下がってきています。
そこで、攻撃者がOTシステムと接続するITシステムに攻撃を仕掛けるシナリオが考えられます。例えば、攻撃者は取引先を装ったメールにより、社会インフラ企業の業務ネットワークにバックドア(裏口)を設置します。攻撃者はここから侵入してネットワークを隈なく偵察します。IT/OTシステムが統合された環境では、両者をつなぐ接続点がチョークポイント(急所)となります。IT/OTシステムをつなぐサーバなどを攻撃者に特定され、ワイパーが仕掛けられると、サーバが破壊されるだけでなく、そのサーバに依存するOTシステムが停止する可能性があります。社会インフラが停止すると、人々の生活や経済に影響が生じます。システムの復旧が難しく、一定期間手動での運用が必要になると、慣れない手動運用による副次的な被害も考えられます。
対策のポイント
このように、脅威アクターを起点としたシナリオ分析を通じて将来起こりえるサイバー脅威を認識することで、将来を見据えたサイバーセキュリティ戦略をより現実的に立案することができます。
サイバーインテリジェンスは、日々のサイバーセキュリティ対策の運用から中長期的なサイバーセキュリティ戦略の立案にまで幅広く活用できる取り組みです。自社に根差したサイバー脅威をより精緻に予想するには、自社を取り巻く「環境」、脅威アクターの「動向」、自社の「ビジネス特性」を踏まえた分析を行うことが有効です。これにより、どの組織にも通じる汎用的なベストプラクティスに加えて、自社に特化した能動的なセキュリティ対策や施策を検討することが可能になります。
1 公安調査庁, “内外情勢の回顧と展望 令和 4 年(2022 年)1月”, Jan 2022, https://www.moj.go.jp/content/001361642.pdf (last accessed 25 Mar 2022).
2 外務省, “中国を拠点とするAPT10といわれるグループによるサイバー攻撃について(外務報道官談話)”, https://www.mofa.go.jp/mofaj/press/danwa/page4_004594.html (last accessed 25 Mar 2022).
3 MANDIANT, “セキュリティ動向予測2022 – 2022年以降のサイバー・セキュリティに関する14の予測”, 18 Nov 2021, https://www.mandiant.jp/sites/default/files/2021-12/rpt-m-Prediction22-000410-01_ja-JP.pdf (last accessed 25 Mar 2022).
4 经济参考报, “多地现“变脸”诈骗案:一段段逼真的视频竟是伪造的……”, 14 Apr 2022, http://dz.jjckb.cn/www/pages/webpage2009/html/2022-04/14/content_83226.htm (last accessed 28 Mar 2022).
5 笹川平和財団, “外国からのディスインフォメーションに備えを!~サイバー空間の情報操作の脅威~”, Feb 2022, https://www.spf.org/global-data/user172/cyber_security_2021_web1.pdf (last accessed 27 Mar 2022).
6 The U.S. Department of State, the U.S. Department of the Treasury & the Federal Bureau of Investigation, “GUIDANCE ON THE DEMOCRATIC PEOPLE’S REPUBLIC OF KOREA INFORMATION TECHNOLOGY WORKERS”, 16 May 2022, https://home.treasury.gov/system/files/126/20220516_dprk_it_worker_advisory.pdf (last accessed 25 May 2022).
7 PwC Japanグループ, “日本企業のグローバル戦略動向調査”, https://www.pwc.com/jp/ja/knowledge/thoughtleadership/overseas-business-strategy-survey2021.html (last accessed 24 May 2022).
8 日本情報システムユーザー協会, “2020年度 ITインフラ研究会 分科会A 活動報告資料”, Apr 2021, https://juas.or.jp/cms/media/2021/06/20_it-infra_1_ver.2.pdf (last accessed 24 May 2022).
9 Department of Justice, “Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace”, 19 Nov 2020, https://www.justice.gov/opa/pr/six-russian-gru-officers-charged-connection-worldwide-deployment-destructive-malware-and (last accessed 24 Mar 2022).