サイバー攻撃はここまで進んでいる！現状とこれからの課題

2018年も残すところ約4か月となりましたが、今年起きた大きなインシデントとして、世界では、54ヵ国で50万台以上の家庭用（小規模オフィス用）ルーターがマルウェア「VPNFilter」に感染した事案や、GDPR施行に乗じプライバシーポリシー変更を装ったフィッシングメール、日本ではコインチェックの仮想通貨不正流出などがありました。

今後もGDPR関連のサイバー攻撃が予想され、EU圏内の顧客情報を盗んだうえでの恐喝や偽のGDPR対策ツールによるマルウェア感染などの手口が考えられます。

近年のサイバー攻撃は高度化しているといわれますが、具体的にどのように進化しているのか、どのような対策が必要になってくるのかを解説します。

防御側の進歩が攻撃側の進歩に追い付かない…！

IPA（独立行政法人 情報処理推進機構）が発表した「セキュリティ10大脅威 2018 組織編」によると、セキュリティ脅威の第1位は3年連続で「標的型攻撃による被害」、第2位は2年連続で「ランサムウェアによる被害」でした。第3位に「ビジネスメールによる詐欺」が新たにランクインしています。

 

1位の「標的型攻撃による被害」がなぜなくならないかというと、攻撃が高度化・巧妙化しており、防御側の進歩が攻撃側の進歩に追い付けないからです。

 

サイバー攻撃は以下の3ステップで行われます。

 

① 攻撃対象の選定・偵察

② 攻撃の準備

③ 攻撃の実施

 

この各ステップで高度化・巧妙化が進んでおり、特に「②攻撃の準備」では、分業化・効率化が行われています。

なんでも無料で簡単に手に入る時代。サイバー攻撃も無料で簡単に高度化できる。

前章の3ステップをさらに詳細に見てみると、それぞれで利用されるツールやソフト、サービスが豊富で利便性も高められており、無料で利用できるものも多数存在しています。

 

① 攻撃対象の選定・偵察

サイバー攻撃の第一段階は、攻撃対象の選定・偵察です。サイバー攻撃は、IT機器やソフトウェアの脆弱性を狙って行われるケースが多く、そうした脆弱性に関する情報は、誰でもインターネット検索で得ることができます。

 

 

たとえば、冒頭で触れたルーターの脆弱性を攻撃したい攻撃者が「日本で該当ルーターを使用している企業などを調べたい」と考えたとします。「SHODAN（ショーダン）／https://www.shodan.io/」という、サーバーやルーターなどインターネットに接続されたデバイスの状態を調べられる検索サイトで国と該当ルーターが使用しているポート番号を入力すれば、条件に該当する機器の情報を簡単に収集できてしまうのです。

 

 

また、セキュリティ対策用のツールを悪用した脆弱性のスキャンツールも無料で入手でき、「どの企業のどのツールがアップデートを行っていない」といった情報も入手が可能です。

 

 

これらは、一般的なインターネット検索を利用した方法ですが、特殊なツールを使わないとアクセスできない「ダークウェブ」とよばれるWebページでは、脆弱性情報が売買されており、攻撃者はこれを購入して攻撃対象を選定していると考えられます。

② 攻撃の準備

攻撃対象を選定した攻撃者は、第二フェーズの攻撃準備に取りかかります。 準備作業は、次の4段階に分業化・効率化されています。

 

 

i．リソース提供

ii．マルウェア作成

iii．デリバリー

iV．集金

 

 

i．リソース提供

ボットネット（悪意のある攻撃者によってネットワークが構築され、インターネット経由の命令によって遠隔操作されてしまっているコンピューター群）を低料金で貸し出す、もしくはセットアップするサービスが存在します。

 

 

ii．マルウェア作成

技術的な知識がなくてもマルウェアを作れるようなサービスが存在します。たとえば、身代金額や支払期日を入力するだけでマルウェアが作成できるようなソフトが簡単にダウンロードできるようになっています。

 

 

iii．デリバリー

攻撃先へのルートを確保するデリバリー担当が存在します。たとえば、45万件ものメールアドレスアカウントが3,000円ほどで売買されていたり、攻撃したい企業の内通者を雇うリクルーティング活動を担ってくれたりするサービスまであります。

 

 

iV．集金

ランサムウェアの身代金などで得たお金をマネーロンダリングするサービスが存在します。手数料8％で、匿名性を維持したまま使用できるものもあります。2018年1月にコインチェックから流出したNEMもダークウェブのマネーロンダリングサービスを介して資金洗浄された可能性が指摘されています。

 

 

③ 攻撃の実施

ダークウェブでは、攻撃ツールのパッケージも売買されています。ペネトレーション（侵入攻撃）テスト用のソフトを悪用した侵入ツールは無料で手に入り、その数は300種類以上もあるといわれています。

 

 

また、約600円で30分間、DDoS攻撃（ディードスこうげき：ネットワークを通じた攻撃手法の一種で、標的となるコンピューターに対して複数のマシンから大量の処理負荷を与えることでサービスを機能停止状態へ追い込む手法のこと）ができる安価なサービスも存在します。

 

 

攻撃用コードが無料で公開されていて、それをアレンジして新たな攻撃コードを作り攻撃を実行することも可能です。

 

 

防御側が取れる対策は…？

このように、攻撃者は「好きなタイミングで好きな場所から攻撃先を選び、好きな攻撃手法を選んで攻撃できる」と、有利な環境が整っているのが現状です。一方の防御者は、対応コストがかかり不利な状況になっているといえ、今後、IT機器・サービスの高度化により、攻撃者側はますます有利になっていくと考えられます。

 

 

防御側は、もはや「侵入を防ぐこと」は困難になっており、「侵入させない」のではなく、「侵入されても情報を出さない」ための対策を考えるのが妥当です。

 

 

対策に当たっては、①業界・業種を超えて組織を構築し（CSIRT（シーサート）、J-CSIP（ジェイシップ）など）、脅威情報の共有や対応スキル向上を図ること、②AIを活用して未知の攻撃まで防御できるようなマルウェア検知を行うこと、③防御側もダークウェブから脅威情報を収集して備えること、④「サイバーキルチェーン」「OODAループ」といった軍事的な攻撃の無力化・対応の考え方をセキュリティに適用すること、などが有用であると考えられます。

 

 

これからこんな攻撃が起こりそう

近い将来、サイバー攻撃に関して予想されるのが、以下の3事案です。

 

 

・2020年東京オリンピックがターゲットに

・IoT機器への攻撃

・最新技術を利用して攻撃側がさらに有利に

 

 

2020年東京オリンピックがターゲットに

2020年、東京でのオリンピック開催に乗じたサイバー攻撃を受けることが予想されます。
過去にも、オリンピック開催のタイミングでサイバー攻撃が起きた事例があります。
※攻撃の内容や件数は、関連団体のホームページを参照。

 

 

■2016年リオデジャネイロ五輪

・大会中発生したセキュリティイベント：13億件

・主要なDDoS攻撃：223件（平均200Gbps以上）

・ATMでのスキミング

・クレジットカード情報を狙ったPOSマルウェア

・偽チケットサイトによるフィシング詐欺

・悪意あるWi-Fiアクセスポイント

 

 

■2018年冬季平昌（ピョンチャン）五輪

・マルウェア（Gold Dragon）付きメール

・関係組織のドメイン偽装

・マルウェア（Olympic Destroyer）によるシステム障害

 

 

東京オリンピックでは、以下のようなサイバー攻撃が予想されます。

 

 

【国際的イベントに乗じた抗議活動】

2013年から日本で開始されているイルカの追い込み漁や捕鯨に関わる抗議活動の一環として、自分たちの主張を広めることを目的とし、本来は関係のないオリンピックサイトに攻撃してくる可能性があります。攻撃はDDoSだけでなくフィッシングDoxxing（ドクシング：社員の個人情報を盗んで公開し辱める行為）、Webサイト改ざんなどが予想されます。

 

 

【宿泊客を狙った攻撃】

ダークホテル…要人などの宿泊情報を掴んだら、ホテル専用のWi-Fiをハッキングしマルウェアが自動的にダウンロードされるように仕込むという方法です。接続した宿泊客にマルウェアをダウンロードさせたり、フィッシングサイトに誘導したりします。感染するとパソコン内の情報が漏えいする可能性があります。

 

 

【フリーWi-Fiを使った攻撃】

偽のWi-Fiスポットを設置し、情報を窃取するというものです。正規の情報に似せた（もしくは同一名称の）Wi-Fiスポットを設置し、接続してきた端末から情報を窃取したり不正なサイトへ誘導したりします。偽のWi-Fiスポットは「認証なし」で接続できるため、端末の設定によっては自動で接続されてしまう可能性があります。

 

 

【偽の充電用USBポート】

偽の充電用USBポートを設置し、端末のデータを窃取するものです。公共施設や店などに偽の充電用USBポートを設置し、接続した端末のデータを窃取するほか、ユーザーがインストールしたアプリを削除し、ホーム画面の同じ場所に偽のアプリ（同一アイコン）をインストールするなどの方法を取ります。

 

 

IoT機器への攻撃

冒頭に触れた「VPNFilter」の事例のように、IoT機器への攻撃は既に始まっており、未来へかけて活発化すると予想されます。
2017年に登場したMiraiというマルウェアは、おもにWebカメラやルーターなどに感染し、大規模なボットネットを形成。IoTデバイスを踏み台として、最大で600GbpsのDDoS攻撃を実施したことで世の中に衝撃を与えました。Miraiのソースコードは公開されており、亜種が次つぎに作成されているのが現状です。

 

 

特に、自動運転技術の進む車や、カメラ・通信機能の付いたおもちゃ、スマート・スピーカーなどへの攻撃が増えることが予想されます。

 

 

最新技術を利用して攻撃側がさらに有利に

最新技術は、正しく使えば私たちの生活を便利なものにしてくれますが、その便利さは攻撃者にとっても同様です。特に、次の3つの要素が攻撃者にとって有利に働くと思われます。

 

 

【SNS普及による人間の行動データ解析】

多くの人がSNSへの抵抗がなくなり、頻繁に書き込みを行うようになってきました。そのため、インターネットから大量の行動データが取得可能になっています。これにより、たとえば、アップロードされた写真を分析することで個人の特定が可能になるため、個人の行動監視が容易になったり、投票者の選挙行動を分析し誘導することで攻撃者が政治に干渉したり、標準型攻撃やフィッシングへの最適な誘導方法が確立され金銭の窃取が容易になるといった悪用が考えられます。【生体認証の突破】
カメラの高度解析化により、SNS等の写真から個人の指紋が再現可能になっています。すでに、静脈や虹彩も赤外線技術により再現が可能です。もっとも難しいとされる顔認証の認証突破も時間の問題といわれています。

 

 

【量子コンピューターによる暗号解読】

データの暗号化の安全性は、解読するための計算量によって担保されています。量子コンピューターの処理速度は、一般的なコンピューターの1億倍といわれており、普及している暗号化方式を容易に突破可能とされています。将来的には「暗号化されているから大丈夫」とはいえなくなる可能性があります。

 

 

まとめ

このようにみてくると、今のところ、サイバー攻撃は攻撃側がとても有利な状況であることがよく分かります。防御側である私たちは、攻撃されないための対策と同時に、攻撃されたときに被害を出さないための対策を講じなければなりません。

 

 

情報セキュリティ対策に、これだけやれば大丈夫という万全策はありませんが、自社の状況を踏まえ、それぞれに合った対策を組み合わせて万全に近い対策を講じることは可能です。

 

 

アイネスでは、セキュリティ診断やコンサルティング、さまざまなセキュリティ対策のシステムやツールを組み合わせて、最適な情報セキュリティ対策のご支援を行っています。ぜひお気軽にお問い合わせください。

【関連リンク】

・「GDPR」に対応するために日本企業は何をするべき？対応のポイントを解説します

・開封率は約50％！ほんとに自分は大丈夫？～「標的型メール攻撃訓練」の結果～

・POSウィルス感染のリスクを軽減し、POS端末の個人情報を守る

・『ネットバンキング』への対策は十分ですか？便利なネット振込みを安全に使うために

・たった一通のメールを開封しただけで...。『標的型攻撃メール』の脅威