『情報セキュリティ白書 2022』に見る課題、Emotet、ランサムウェア、OT、設定ミスなど山積み

情報セキュリティ白書は、収集・分析した情報をまとめたもので、情報の網羅性と参照性が高く、幅広く活用されています。白書は前年度の状況をまとめているので、振り返りにも役立ちます。2021年は、延期されていた東京オリンピックが無観客で開催されましたが、既に遠い昔のようにも感じますね。

情報セキュリティ白書は、「第1章：情報セキュリティインシデント・脆弱性の現状と対策」、「第2章：情報セキュリティを支える基盤の動向」、「第3章：個別テーマ」で構成されており、それぞれ詳しく解説しています。2021年度の主な情報セキュリティインシデントをみると、情報漏えい、ランサムウェア感染、脆弱性の悪用が目につきます。サイバー攻撃の件数と被害額も増加傾向にあり、FBIの発表によると被害額は2020年の42億ドルから2021年は69億ドルに増加しました。

2021年度に発生した主な情報セキュリティインシデント

2021年に最も大きなインパクトを与えたサイバー攻撃は、米コロニアル・パイプライン社へのランサムウェア攻撃だったのではないでしょうか。攻撃を受けたのはITシステムでしたが、同社では念のためにOT（産業制御）システムを停止しました。これにより米国東海岸の燃料輸送が6日間にわたり停止し、多数のガソリンスタンドで売り切れや油価の高騰などが発生しました。サイバー攻撃が実生活に大きな影響を与え得ることが明らかになったケースといえます。

脆弱性については、2021年3月および8月にMicrosoft Exchange ServerのProxyLogon、およびProxyShellの脆弱性が公表され、12月にはApache Log4jの脆弱性が公表されました。Log4jはオープンソースのJavaライブラリであるため、さまざまなアプリケーションに組み込まれており、それを把握することさえ困難な状況になりました。

2021年は、2020年に発生した米SolarWinds社のネットワーク監視ソフト「Orion」へのソフトウェアサプライチェーン攻撃の影響も残りました。正規のルートからマルウェアが侵入するため、対策の難しい脅威といえます。ソフトウェアではなく、一連の商流であるサプライチェーンへの攻撃も活発化しており、2022年にも多くの被害が発生しています。

大規模なサプライチェーンを構成する1つの企業へのサイバー攻撃がきっかけで、自動車メーカーの複数の工場が停止したことも衝撃的でした。サイバー攻撃者がそこまで意図したかどうかは分かりませんが、これまで危惧されていたサプライチェーン攻撃が大規模な形で現実になったといえます。

フィッシング攻撃も、2021年は前年から87％と大幅に増加しました。以前からオリンピックの開催時にはフィッシングが急増することは知られていましたが、東京大会でも同様の結果となりました。2021年はこれにコロナ禍も加わり、歴史的な件数となりました。フィッシングに悪用されるブランドも多岐にわたるようになり、スマートフォンを対象とした攻撃が増えています。

フィッシングに使われるソーシャルエンジニアリングの手法は、マルウェア「Emotet」のメールにも使われ、被害を拡大させています。Emotetは、2021年1月にユーロポールが中心となってテイクダウンさせましたが、同年11月には活動を再開、激しい攻撃を行っています。感染したPCから得たメール情報を活用して、ビジネスのやり取りのようなメールを送り、添付ファイルを開かせて感染を拡大させています。

また、Emotetは日本を主な標的としており、メールの日本語の精度が高く、短いサイクルで添付ファイルとURLリンクを使い分けるなど、より効率的な攻撃を試行錯誤しているようにも思われます。Emotetは侵入後、さまざまなマルウェアをダウンロードすることも特徴ですが、侵入に成功した時点で攻撃をやめ、その経路を販売するサイバー攻撃者もいます。このため、業種や企業規模を問わず攻撃を仕掛けています。

ランサムウェアも、引き続き大きな脅威となっています。メールから感染するケースの他、不正アクセスにより侵入し重要な情報を盗み出した上でランサムウェアを設置するケースも増えています。サイバー攻撃者は自ら立ち上げたサイト（暴露サイトと呼ばれる）に盗み出した情報を置き、「身代金を支払わなければ暴露サイトのURLを公開する」と脅す"二重脅迫"が増え、現在は常套手段となっています。

今後注意すべき「OT」「IoT」「クラウド」

情報セキュリティ白書では、「情報セキュリティインシデント別の手口と対策」として、標的型攻撃、ランサムウェア攻撃、ビジネスメール詐欺（BEC）、DDoS攻撃、ソフトウェアの脆弱性を悪用した攻撃、ばらまき型メールによる攻撃、個人をターゲットとした騙しの手口、情報漏えいによる被害を挙げています。それぞれの手口を正しく理解し、適切な対策を行うためのヒントが掲載されています。

そして、「情報セキュリティをさせる基盤の動向」として、国内の情報セキュリティ政策の状況、国外の情報セキュリティ政策の状況、情報セキュリティ人材の現状と育成、組織・個人における情報セキュリティの取り組みを紹介しています。国内の状況については、2021年9月に改訂された政府の「サイバーセキュリティ戦略」を詳しく紹介しています。特に「DX with Cybersecurity」は重要な取り組みといえます。

セキュリティ人材については大きくページを割いており、重要な取り組みであることが分かります。取り組みとしては、サイバーセキュリティ経営ガイドラインの「セキュリティ体制構築・人材確保の手引き」を考え方のベースとして、「セキュリティ人材の育成」と「プラス・セキュリティの普及」を推進。今後はさらに取り組みの具体化と拡大を進めていくとしています。

第3章では「個別テーマ」として、制御システム（OT）、IoT、クラウドのセキュリティについてまとめています。これらは近年、話題になっているもので、いずれもセキュリティ侵害が発生すると生活にまで大きな影響が及ぶ可能性があります。特に制御システムは、電力、ガス、水道、輸送・物流、製造ラインなど重要インフラでも使用されています。

制御システムは、もともと独立した"閉じた"ネットワークとなっており、固有のプロトコルや事業者ごとに異なる仕様で構築・運用されているため、外部からのサイバー攻撃は困難とされていました。しかし近年は、外部ネットワークとの接続や標準プロトコル、汎用製品の利用が進んでいます。一方で、制御システムは一度構築すると10年、20年と長期にわたり使用されるため、サイバー攻撃が想定されていないシステムも多くあります。

制御システムは、何よりも「止めない」ことが第一です。そのため、ランサムウェアに感染すると最短の時間で普及するために"身代金"を支払ってしまいがちです。サイバー攻撃者にとっては"金払いのいい顧客"となり、ターゲットになりつつあります。制御システムへのサイバー攻撃は人命に関わることもあるため、サイバーセキュリティ対策は重要です。

IoTは、さまざまなセンサーや機器を手軽にインターネットに接続できるため、利用価値が高まります。既にIoT家電をはじめ、生活の中に多く存在していますし、多くの産業の現場に取り入れられています。非常に小型のものが多いため、セキュリティ対策を導入できないケースが多く、そのためIoTの普及初期からサイバー攻撃者も注目しており、IoT向けのマルウェアも数多く登場しています。

例えば、インターネット接続機能を持つブルーレイレコーダーに外部からアクセスしてマルウェアに感染させ、DDoS攻撃に利用するケースは多くあります。企業でも同様で、複合機から情報が漏えいすることもあります。IoT機器がセキュリティ対策に穴を開けてしまうこともあるので、必ずルーターなどのゲートウェイセキュリティを介してインターネットに接続することが重要です。

クラウドについては、日本政府が「クラウド・バイ・デフォルト原則」を公表しており、またDXの推進には欠かせないものとして、クラウド上にシステムを移行する企業が増えています。自由にスケールできることが最大の魅力であり、柔軟にシステム構築できることはDXの推進にも有効です。複数のクラウドサービスを利用するケースも増えています。

一方で、クラウドサービスの設定ミスで重要なデータを公開してしまったり、クラウド上のデータの保護における責任分界点の認識不足からトラブルが発生したりしています。また、クラウドでの開発におけるサプライチェーンリスクや、クラウドサービスを狙うサイバー攻撃もあります。クラウドを正しく理解して活用することが重要です。

情報セキュリティ白書は非常に活用度の高い資料です。昨年度の状況を把握し、さらに最新の情報に触れていくことで、企業のセキュリティリテラシーの向上にも寄与することでしょう。PDF版は無料でダウンロードできますので、ぜひ一度、目を通してみてください。

「情報セキュリティ白書2022」全章PDF

プロフィール