グーグル・クラウド・ジャパンは12月12日、サイバーセキュリティに関する記者セミナーを開催し、米Google Cloudでセキュリティ脅威の動向を分析しているMandiant Intelligence チーフアナリストのJohn Hultquist氏が、今後日本を狙うサイバー攻撃に使用される可能性のある動向などを解説した。
Google Cloud Mandiant Intelligence チーフアナリストのJohn Hultquist氏
まずHultquist氏は、脅威の情勢に向き合う上で(1)サイバー攻撃の標的が政府か企業かではなく包括的に捉えること、(2)攻撃者の進化のスピードに劣ることなく団結すること、(3)将来に向けて今すべき行動をすること――を助言した。例えば、国家の支援を受けた攻撃組織がサイバースパイをしているなどと聞くと、「標的は政府機関だろう、うちは無縁だ」と考えてしまうかもしれない。「政府を狙う攻撃と企業を狙う攻撃は別物といった考え方は古い。全ては関係し融合しているので、企業でも国家防衛のようなセキュリティが必要になっている」とHultquist氏は話す。
日本に関して現在の最大の問題は、ランサムウェアなどのサイバー犯罪だという。Hultquist氏によれば、犯罪規模が過去3年で約3倍に増加し、製造業、とりわけビジネス規模の大きな重工系の企業が狙われているとのこと。ビジネスが停止することで被害が甚大になりかねず、攻撃者は重工系企業を脅せば大金を得られると考える向きがある。近年の攻撃では、マルウェアファミリーの「Lockbit」「AlphV」「CI0p」がよく使われているとした。
世界各国の法執行機関などが連携し、攻撃組織のサイバー攻撃インフラの封じ込め(テイクダウン)に成功するケースも多い。しかし、テイクダウンされた攻撃インフラがしばらくして復活することもある。その理由は、攻撃組織が世界各国の法執行機関の手の届きにくい国家に活動拠点を置き、複数の攻撃組織が分業体制を敷いているからになるという。
「攻撃者側はロシアなど自分たちにとって安全な場所、(西側諸国など)われわれの対策が届きにくいところに活動拠点を置いており、不正アクセスの実行やランサムウェアの展開など役割分担をしている」(Hultquist氏)
さらに、世間に開示されていない未修正の脆弱(ぜいじゃく)性を悪用する攻撃も多く、特にファイル転送サービスを標的にする傾向が強まっているという。ファイル転送サービスは多くのユーザーに利用されており、事業者はサイバー攻撃によってサービスに影響が出れば事業継続が難しくなり、直接的な被害や信用失墜などの間接的な被害を恐れて、攻撃者が要求する金銭を支払う傾向にあるとのこと。Hultquist氏は、ランサムウェアに代わって今後増加する可能性が高いだろうとした。
また、Hultquist氏が注目している攻撃組織が「UNC3994」(別名:Scattered Spiderなど)だという。Google Cloudの分析では、この組織のメンバーは未成年など若者が多いと見られ、企業のヘルプデスクなどをだまして認証情報を不正に入手するなどソーシャルエンジニアリング攻撃に長けているという。SMSを使った多要素認証を狙う攻撃や、企業の業務委託先を経由した不正アクセス攻撃なども実行している。この組織の危険性は米CrowdStrikeなども指摘しており、日本の企業や組織を狙った活動を今後強化する可能性がある。
中国が背景と見られる攻撃組織の動向では、国内の組織や家庭のルーターなどの通信機器を踏み台にして組織のネットワークに不正侵入する手法が多いという。攻撃組織は、通信機器の脆弱性を突くなどして指令・制御(C2)サーバーを仕掛け、不正侵入を狙う。Hultquist氏によれば、標的にされる側からは、国内ネットワークからのアクセスに映るため検知が難しく、マルウェアを使用しないなど攻撃の痕跡も残りにくいため、対応が難しいという。重工系企業や重要インフラ組織を標的にしており、米国政府も危険視しているという。
他方で、北朝鮮が背景と見られる攻撃組織の主な目的は、仮想通貨資産の窃取になるという。その理由はミサイル開発などのための資金獲得で、米国当局の分析では、ミサイル開発費用の半分がサイバー攻撃により窃取した仮想通貨だとしている。攻撃組織は、ITインフラサービスなどの事業者を標的にして、事業者のリソースを不正に使い仮想通貨を採掘していると見られている。
また、攻撃手法ではソーシャルエンジニアリングを駆使しており、Hultquist氏は「(機密情報を得るために)政府関係者や学術機関、マスコミ、防衛、航空宇宙、重工といった組織を狙い、あらゆる接点を使って実行している。以前に比べ、メールなどにあやしい言葉使いも見られなくなってきている」と解説。実際の攻撃に使われたという、韓国のマスコミ関係者を名乗り日本政府関係者に送信されたなりすましメールや、細工したオーディオブックサービスのアプリで認証情報を奪う手口を見せてくれた。
韓国のマスコミ記者を名乗る人物から実際に日本政府関係者へ送信されたというなりすましメール
Hultquist氏によれば、攻撃組織はソーシャルエンジニアリング攻撃の精度を高めるために生成AIの悪用も研究している。サイバー犯罪向けに出現した「WormGPT」や「FraudGPT」と呼ばれる大規模言語モデルの使い方を試行錯誤しており、「生成AIを悪用すれば、標的をだます巧妙な文章を効率的に生成でき、マルウェアコードなども効率的に作成できる」(Hultquist氏)という。