サイバー攻撃の巧妙化が続いており、国内のセキュリティー被害が増加している。猛威を振るうランサムウェア攻撃、拡大するサプライチェーンリスク、内部不正による情報漏えい、次々に発見される新たな脆弱性など、多岐にわたる脅威に対抗するのは容易ではない。情報処理推進機構（IPA）が1月に発表した「情報セキュリティ10大脅威 2024」の「組織編」を参考に、2023年に起きたセキュリティー事件を交えて、サイバー攻撃の傾向やその対策を考察する。
（取材・文／岩田晃久）
 

上位の脅威は変わらずも巧妙化

　セキュリティ10大脅威は、セキュリティー分野の研究者や企業の実務担当者などの有識者で構成される選考会が、最新のセキュリティー脅威について審議・投票し、決定する。昨年までは、組織編と個人編の両方で順位付けをしてきたが、今年から、個人編は順位付けを廃止した。IPAは、「個人ユーザーが順位を“危険度”と誤って認識してしまうと、下位の脅威への注意がおろそかになることを懸念した」と経緯を説明する。組織編の順位についても、「前年のニュースや昨今の状況を考慮して投票されており、危険な順で並んでいるわけではない。順位が下位だから対策は後回しでいいということではない。また、ランクインした脅威がすべてではなく、そのほかにも脅威は存在する」としている。
 
　24年版組織編に選出された10大脅威は、23年版と同様の顔ぶれで、1位が「ランサムウェアによる被害」、2位が「サプライチェーンの弱点を悪用した攻撃」と、上位の並びも同じだった。IPAは「脅威の種類は同じでも、例えば、ランサムウェアは大きく報道された事件が複数あり、サプライチェーンの弱点を悪用した攻撃は本丸を狙う上での常套手段になりつつあるなど、年々危険になっている」と見解を示す。

　ランサムウェア攻撃は、PCやサーバーのデータを暗号化し、復旧のための鍵と引き換えに金銭を要求する攻撃手法。その手口は悪質化を続けており、10大脅威の解説書によれば、データの暗号化に加え、窃取情報の暴露、攻撃を受けていることの利害関係者への暴露、DDoS攻撃予告などを組み合わせて、最大で四重の脅迫が確認されているという。

　ランサムウェア攻撃が登場した当時の感染経路はメールが多かったが、現在はVPNなどの機器やソフトウェアの脆弱性、意図せず外部公開されているリモートデスクトップポートから不正ログインされるなど、巧妙化している。

　23年7月には、名古屋港内のすべてのコンテナターミナル内で運用している「名古屋港統一ターミナルシステム」が、VPN機器の脆弱性を突かれてランサムウェアに感染し、約2日半コンテナターミナルでの作業の停止を余儀なくされた。そのほかにも、大手企業を中心にランサムウェア攻撃の被害の公表が相次ぐなど、ランサムウェアは社会問題になっている。

　サプライチェーン攻撃は、セキュリティーが強固な企業を直接攻撃するのではなく、その関連会社や取引先などの外部組織を通じて侵入し情報を窃取するケースと、ソフトウェアサプライチェーンと呼ばれるソフトウェア開発・提供の工程の中で、ライブラリーやアップデートプログラムなどの中にマルウェアを混入させるケースの二つがある。

　23年11月には、LINEヤフーが個人情報の外部流出を発表。これは、業務委託先であるNAVER Cloudのさらに委託先の企業で従業員のPCがウイルス感染したことが原因だとしている。現在、大手企業はサプライチェーンセキュリティーの強化を進めており、中堅・中小企業を含む委託先でもセキュリティー対策の徹底が求められつつある。セキュリティー人材がいない場合が多い中堅・中小企業においては、セキュリティー強化は容易ではないが、各種ガイドラインを参考にするなど取り組みを強化していく必要がある。

　4位にランクインした「標的型攻撃による機密情報の窃取」も、長年10大脅威に登場する外部脅威だ。解説書では、標的型攻撃を「特定の組織（企業、官公庁、民間団体等）を狙う攻撃のことであり、機密情報等を窃取することや業務妨害を目的としている」と説明。手口としては、組織の利用するクラウドサービスやWebサーバー、VPNといった製品の脆弱性を突いて認証情報を搾取し、その認証情報を利用して攻撃する不正アクセスが多く、そのほかには、メールにファイルを添付したり、リンクを記載したりして、そこからウイルスに感染させる「やり取り型攻撃」や、標的となる企業がよくアクセスするWebサイトを改ざんしてウイルスを仕込む「水飲み場型攻撃」が挙げられる。

　近年は、ランサムウェア攻撃、サプライチェーン攻撃、標的型攻撃が単体ではなく、それらを組み合わせた攻撃が主流となっていることに注意しなければならない。