企業や組織を狙うサイバー攻撃は巧妙化・複雑化が進み、大きな脅威となっています。その侵入経路は主にメールとウェブアプリケーションの脆弱(ぜいじゃく)性であり、侵入しても気づかれないようにさまざまな手法を駆使しています。ここでは、脅威アクターが企業や組織に侵入する手法と、その被害について紹介します。後編では、サイバー攻撃による被害と対策の心構えについて解説します(前編はこちら)。
脅威アクターの「目的の行動」
企業内ネットワークの侵入に成功した脅威アクターは、侵入したPCのユーザーの権限を活用したり、横展開(ラテラルムーブメント)によってドメインコントローラーをハッキングして自らの権限を昇格したりします。これにより、高い権限が求められる重要なデータにもアクセスできるようになります。
IBMの報告書「X-Force 脅威インテリジェンス・インデックス2024」によると、侵入後の最も一般的な行動は、マルウェア(バックドアとランサムウェア)のインストール(43%)、悪意のあるツールのインストール(32%)、サーバー(18%)とリモートツールへのアクセス(10%)、ビジネスメール詐欺(BEC)(7%)などです。
マルウェアの多くは、侵入後に脅威アクターが用意したコマンド&コントロール(C&C)サーバーとの接続を確立します。これにより脅威アクターはマルウェアと通信を行い、必要があれば別のツールやマルウェアを送り込みます。侵入後の行動が多様であるのはこのためです。C&Cサーバーはマルウェアがアクセスした重要な情報の送信にも使われます。
特に近年、脅威が増しているランサムウェア攻撃は、単純に感染したPCのデータを使えなくして“身代金”を要求するだけではなくなっています。別のマルウェアなどによって企業に侵入し、重要なデータを盗み出した後にランサムウェアを仕掛け、「身代金を支払わないと盗み出したデータを公開する」と脅す二重脅迫などの多重脅迫も増えています。
また、ランサムウェアは個人または組織のデータに限定されるものではなく、認証、認可、仮想計算、ストレージ、ネットワーキングを含む組織のネットワークサービスの中断を狙う場合もあります。
2019年、脅威アクターがランサムウェアを展開する平均時間は2カ月でしたが、2021年にはわずか4日(92.5時間)となり94%も短縮されました。2023年は92.2時間と確実に短くなっています。サイバー犯罪が重要な成長分野であることに加え、脆弱性の悪用や大量の機密データの採取がかつてないほど急速に進んでいるといえます。
情報漏えいの事例
2023年に起きたデータ流出で注目されるのは、DNAに基づく情報を提供する遺伝子検査会社である23andMeから690万ユーザーの先祖データなどが漏えいしたケースです。同社では、データ漏えいの原因を顧客がパスワードを使い回したこととしていますが、ハッカーは他社のデータ漏えい事件で公開された既知のパスワードを使用することで、被害者のアカウントをブルートフォース(総当たり)攻撃で解読することができたと述べています。
ブルートフォースによりパスワードを割り出す試みは、何度も間違ったパスワードを入力するため、アプリケーションの認証サービスによって検知可能であるべきであり、脅威アクターを阻止するためにアカウントが一時的に停止されるべきであると主張することはできます。しかし、これはアカウントが攻撃を受けているユーザーにとって、意図せずサービスを利用できなくなる可能性もあります。
パスワードの使い回しは間違いなくユーザーの問題ですが、一般にアクセス可能なアプリケーション、特に機密データを公開する可能性のあるアプリケーションは、このようなブルートフォース攻撃から保護するために二要素認証を強制するべきであるといえるでしょう。
2023年のもう一つの例として、英国の郵便サービスであるRoyal Mailが挙げられます。1月に発生したランサムウェア攻撃により、英国外への手紙や小包の発送が数カ月にわたって中断されました。また、技術情報、人事や職員の懲戒記録、給与や残業代の詳細、さらにはある職員のコロナワクチンの接種記録などの機密データも盗まれる結果となりました。
2022年は、Optus、Medibank Privateなどで大規模なデータ漏えいが発生し、オーストラリアにとって困難な年となりました。しかし、2023年もLatitude Financialのデータ流出が注目を集めており、困難がなかったわけではありません。このデータ流出事件では、Latitudeの顧客の運転免許証やパスポート番号を含む約1400万件の記録が流出しました。
東京商工リサーチでは、2023年に日本の企業やメディアが公開した情報漏えい事故をまとめています。これによると、上場企業とその子会社が公表した個人情報の漏えい・紛失事故は175件でした。漏えいした個人情報は4090万8718人分で、前年の約7倍と大幅に増えました。事故件数と情報漏えい人数がともに過去最多になったとしています。
漏えい人数が最も多かったのは、NTT西日本の子会社であるNTTマーケティングアクトProCXとNTTビジネスソリューションズが10月17日に公表したもので、コールセンターシステムの運用保守を担当していた元派遣社員が約928万件のクライアントの個人情報を不正に流出させていた事件です。影響も広範囲に及びました。
9月15日には、建築関連の人材派遣会社に勤める男性が個人情報保護法違反などの疑いで警視庁に逮捕されました。この男性は、以前に勤務していた会社の営業先などが記録された名刺情報管理システムにログインするためのIDやパスワードを、転職先のグループ会社の社員に共有しました。同システムには数万人の名刺情報が記録されていました。名刺はそもそも第三者へと配布することが前提であるため不正競争防止法違反とはならず、初の個人情報保護法違反となりました。
情報漏えいの際に最も多く盗まれる情報は、圧倒的に個人情報です。これには、氏名、住所、社会保障番号、運転免許証、パスポート、医療データ、クレジットカード、パスワードなどが含まれます。これらの情報は、脅威アクターによりダークウェブやその他のフォーラムで販売され、標的に対してさらなる作戦を実行するために使われることが多いです。
このため、個人を特定できる情報(PII)の保管と取り扱いは厳重に規制されています。これには、欧州の一般データ保護規則(GDPR)、米国のカリフォルニア州消費者プライバシー法(CCPA)、同じく米国の医療保険の携行性と説明責任に関する法律(HIPAA)などの管理機関、規制当局、政策立案者が含まれます。日本であれば個人情報保護法がこれに該当します。
データ漏えいの一部は、組織が規制やポリシーに記載されたガイドラインを順守しなかったことに起因している可能性もありますが、多くは脅威アクターが特権的なアクセス権を持つユーザーアカウントやサービスに黙ってアクセスしたことが原因となっています。この場合、個人または組織から金銭を脅し取るために、異常な行動によって、または脅威アクターからの通知や要求によって侵害が明らかになります。
