脅威のインテリジェンスと「攻撃者」を知ることの重要性

Computer Futuresはこの度オンラインでTokyo Cyber security Meet-upを開催いたしました。以前から多くの方にご参加いただき、東京のサイバーセキュリティーに携わる皆様のコミュニティを築いてきた当イベントですが、今回は初めてオンラインでの開催となりました。

ゲストスピーカーとしてお招きした、CrowdstrikeのStrategic Threat Advisory Group APJ and EMEAにおけるディレクターであるスコット・ジャーコフ氏から、脅威のインテリジェンスと「攻撃者」を知ることの重要性についてお話しいただきました。

敵の動機を知ること

ジャーコフ氏の講演では、「敵を知る」ことの必要性が強調されています。企業はサイバー攻撃に対する防御策に集中する傾向があり、その背後にある動機を理解していません。そのため、サイバー攻撃への対応が予防的な対策ではなく反応的にものとなってしまうのです。

ジャーコフ氏は、「あらゆる攻撃の背後には必ず人間がいて、その動機は愛国心や金銭的な利益、ハッキングを通じて政治的またはイデオロギー的なメッセージを伝えることなど多岐にわたります」と話します。

2019年以降、ランサムウェアが増え、電子犯罪が急増しています。攻撃者は主に以下のように分類できます。

今日注意すべき脅威アクター

1. 国家

最も洗練された能力を持つのはロシアであり、次いで中国、イラン、北朝鮮、ベトナムなどが挙げられます。

2. 電子犯罪者グループ

「スパイダー」としてユニークに知られる「Indrik Spider」と「Wizard Spider」は、2019年にたった1件のサイバー攻撃事件で1億米ドルの収益を上げ、最も稼いだ電子犯罪グループとして知られています。

3. 新型コロナウイルスをテーマにしたインテリジェンス

パンデミックは、サイバー攻撃が被害者をおびき寄せる新たな手口となっています。データ漏洩をもたらす攻撃を含む電子犯罪の事例数がここ最近で急増しています。

サイバー攻撃の引き金となり得る活動

「中国製」イメージの刷新

中国は外国メーカーへの依存度を下げたいという願望を持っており、そのために国内に製造業の拠点を開発しようとしています。また、安かろう悪かろうの製品イメージを払拭し、世界的に認知が高まっているハイテク部門でより大きな存在感を確立しようとしています。

しかし中国国内の製造業は新型コロナウイルスの影響を大きく受けており、生産量の減少は長期的に国の成長にも影響を及ぼすことになると考えられます。

そのため、中国は「デジタル・シルクロード」の構築を計画しており、アフリカ、アジア、ヨーロッパなどの国々との貿易、協力、イノベーションを強化し、成長計画を立て直すことを目指しています。

新型コロナウイルスのワクチン開発競争

世界保健機関（WHO）によると、現在新型コロナウイルスのワクチンの開発のために76のプロジェクトが世界中で進んでおり、治療法の開発とあわせて世界的な競争が激化しています。これにともない、知的財産の登用が起きるのではという憶測が高まっています。

サイバーセキュリティの専門家によると、新型コロナウイルスの治療法に取り組んでいる製薬会社はサイバー攻撃のリスクが高まっているといいます。また、これらの企業の多くが、リモートで働く多くの従業員を抱えており、セキュリティ上の大きなリスクにさらされています。製薬会社の臨床試験に参加している人々の個人情報も同様に脆弱です。

サーカス・スパイダー：アジア太平洋地域（APAC）の電子犯罪

これらの電子犯罪攻撃は、Netwalker ランサムウェアを利用しており、アジア太平洋地域では著しい学大が見られます。身代金の要求額は1,000米ドルから300万米ドルと巨額になり得ます。

Q&Aセッションでは、このような攻撃に直面したときに身代金を支払うべきかどうかについて質問がありました。ジャーコフ氏は、法執行機関は身代金を支払わないことを推奨していますが、最終的にはビジネス上の意思決定であり、多くの要素をはらんでいるためリスクに基づいた判断を行うべきだと話します。

サーカス・スパイダーの存在は、特にパンデミックが流行している時期において、ヘルスケアの世界でも広く見られるようになっています。Crowdstrikeによると、Netwalkerランサムウェアは2019年9月以降犯罪者によって積極的に使用されており、以前はMailto、Koko、KazKavKovKizの名で知られていたものも含まれます。新型コロナウイルスを“餌“としてヘルスケア部門全体をターゲットにしていることから、Netwalkerの運営者は世界的なパンデミックに乗じて活動を広げていることがわかります。

サイバー専門家による組織への主な提言

技術的な情報を入手して報告することは不可欠ですが、24時間365日体制で脅威を監視するためには、人間による脅威ハンティングを確実に行うことが最も大切だとジャーコフ氏は述べます。それに加えて、業界の専門家のアドバイスを得て最新情報を積極的に入手することも非常に重要となります。

新型コロナウイルスによってサイバー攻撃の方法は変わったか？

マルウェアを含む添付ファイルをクリックさせるためのおびき寄せの題材として新型コロナウイルスが利用されるケースは多くみられますが、実際の攻撃の戦術や方法には明らかな変化は見られません。

また、日本はこれまでデジタルツールよりも紙を使うケースが多く、他の国に比べてITの導入が少ないために大規模な攻撃は少ないように思われます。しかし、新型コロナウイルスの影響でリモートワークやデジタル化が大きく進んだことは事実であり、近い将来に脆弱性が高まる可能性も否定できません。

ネットワークとセキュリティの未来

今回のセッションではNetskopeの白石庸祐氏もゲストスピーカーとしてお招きし、ネットワークとセキュリティの未来、具体的にはセキュリティソリューションとしてのSASE (Secure Access Service Edge) の台頭と今後の課題についてお話しいただきました。白石氏の講演の詳細はこちらからご覧いただけます。