クラウドストライクは9月24日、脅威データをまとめたレポート「Insights from the CrowdStrike OverWatch Team」を公開した。米本社CrowdStrikeで脅威を探索するFalcon OverWatchのデータをまとめたものであり、IntelligenceチームとServicesチームの協力のもと2020年の上半期の傾向などを解説している。
コロナ禍におけるサイバー攻撃の増加について、各セキュリティ企業は警鐘を鳴らしているが、日本法人クラウドストライク ジャパン・カントリー・マネージャー 河合哲也氏は「攻撃者の意図やツール、テクニックを知ることで守備側も対策を講じられる。現実社会で起きている特殊詐欺被害のように犯罪者の手口を知るのが第一歩」だと、レポートを通じてサイバー犯罪の状況を把握することの重要性を提言した。
クラウドストライク ジャパン・カントリー・マネージャー 河合哲也氏
CrowdStrike インテリジェンス担当シニアバイスプレジデント Adam Meyers氏
140以上の脅威を追跡しているCrowdStrikeは、サイバー攻撃者の動機に応じて「国家主導攻撃者」「サイバー犯罪者」「ハクティビスト(社会もしくは政治的な主張を目的とした攻撃者)」の3種に分類している。米本社インテリジェンス担当シニアバイスプレジデント Adam Meyers氏は「政治や軍事、知財情報の収集やネットワークに影響を与えるような破壊工作を行う『国家主導攻撃者』だが、例外は北朝鮮の犯罪者。彼らは国家主導型ながらも、収入を国家にもたらす攻撃が多い」と説明する。
「一般的な犯罪者である『サイバー犯罪者』に国家は関係せず、グループに金銭をもたらすための攻撃が主目的。破壊的な攻撃を仕掛ける『ハクティビスト』の攻撃手法はDDoS(分散型サービス妨害)攻撃や何らかの思想を持ってウェブサイトを書き換える。日本であれば五輪など大きなイベント開催時や捕鯨に関する意見を示す攻撃が多い」(Meyers氏)
CrowdStrikeはサイバー攻撃者、もしくは犯罪者集団に特定のコードネームを命名して追跡調査している。たとえば金銭目的であれば「Spider(クモ)」、ハクティビストなら「Jackal(ジャッカル)」、諜報活動などを目的とした国家主導型には国の象徴的な動物名を付与。中国は「Panda(パンダ)」、北朝鮮は「Chollima(チョルリマ:千里馬という伝説上の動物)」、ロシアは「Bear(熊)」といった具合だ。
興味深いのが「最近活発なのが、ベトナム軍が背後にいるといわれているOcean Buffalo(水牛)」(Meyers氏)との発言である。「APT-32」や「APT-C-00」といった呼称も用いられる標的型攻撃を行うマルウェアの一種だが、軍の関与は国家間のサイバー攻撃が大国間以外にも拡大しつつある状況を示した好例だ。
※クリックすると拡大画像が見られます
Falcon OverWatchで検出したサイバー攻撃は、2019年時点で約3万5000件だが、2020年は上半期を終えた時点で約4万1000件と大きく上回り、類を見ないほどに激増している。業種別で見るとテクノロジー(18%)、製造業(11%)、通信(10%)業界にサイバー攻撃が集中し、日本国内も例外ではないと説明する。
8月にランサムウェアの一種である「DOPPEL SPIDER」の被害を検出しており、「消費財、工業、エンジニアリング、製造業の日本企業4社が攻撃された。他の攻撃者グループが仕掛ける可能性も高く、サイバー攻撃は今後も継続する」(Meyers氏)