DXの“壁”となるセキュリティ脅威の増大【第39回】

標的型攻撃

　特定の個人や組織を狙ったサイバー攻撃である。「マルウェア」と呼ばれるコンピューターウィルスなどの不正プログラムを使ってシステム管理者のアカウントを乗っ取るなどにより、システムへの不正侵入や不正遠隔操作を可能にする。そのうえで個人情報や機密情報、知的財産などの窃盗、システムやデータの破壊、Webサイトの改竄を実行する。

　例えば、「Emotet」と呼ばれるウイルスは、Microsoftのワープロソフト「Word」に付随する形などでメールに添付されてばらまかれる。感染者に対して、重要な情報を盗む、ランサムウェアに感染させる、社内の他の端末に伝染する、社外へばらまくための踏み台になるなど、サイバー攻撃のプラットフォームとしての機能を持つ。

ビジネスメール詐欺

　経営幹部や取引先になりすまして従業員をだますメールによって、送金させるなどによって資金を詐取するサイバー攻撃である。メールは、従業員への指示のほか、ウイルスの添付や、感染させるための仕掛けを持たせたWebサイトへの誘導にも使われる。

ランサムウェア

　カプコンのケースのように、入手した機密情報やデータ、システムの停止や破壊を“人質”に金銭取引などを迫る。有名なランサムウェアに「WannaCry」がある。

　WannaCryは、Microsoft Windowsを標的としたワーム型ランサムウェア。 2017年5月12日以降、大規模なサイバー攻撃が開始され、150カ国28言語の23万台以上のコンピューターに感染した。身代金としては、匿名性のある暗号通貨「bitcoin」で要求したり、盗んだ情報を「ダークウェブ」と呼ばれる闇サイトに保管し、公開・販売したりする。

　犯罪グループに対し、専用サイトなどを使ってランサムウェアを貸し出すグループもある。「RaaS（Ransomeware as a Service）」と呼ばれ、RaaSを利用する犯罪グループは、借り出したランサムウェアをカスタマイズし実際の攻撃を仕掛けられる。技術的な知識がなくても高度なサイバー攻撃が実行できるわけだ。

サプライチェーンの弱点を悪用した攻撃

　サプライチェーンに属する企業のうち、セキュリティ対策の弱い企業にサイバー攻撃を実行し、その企業のシステムに侵入。そこを足掛かりに、正規の連絡に見せかけてサプライチェーンに属する他の企業に攻撃をかける。

サービス妨害攻撃

　「DoS（Denial of Service）」とよばれ、サイトやネットワークに大量のデータを送り付ける過剰な負荷によってWebサイトやサービスをパンクさせる攻撃である。

　コンピューターウィルスで乗っ取った機器などを踏み台にして、分散した多くの機器から実行するDoS攻撃が「DDoS（Distributed DoS）」だ。コンピューターウィルスに感染したWebカメラやスマート家電も、踏み台に使われるようになっている。先のリオデジャネイロオリンピックでは、毎秒540ギガビットのDDoS攻撃があったという。DDoSによる企業への恐喝も増えている。

　情報通信研究機構（NICT）によれば、2020年5月に世界で約20万台が特定のコンピューターウィルス「Mirai」に感染していることが確認された。オンラインゲームや、外国為替証拠金取引、ビットコイン関連のサービス、企業や団体のホームページが被害にあっている。

IoTの脆弱性に関する脅威

　第28回『用途が広がるIoTに迫るセキュリティ脅威』で述べたように、IoT機器からのデータや画像の不正入手に使われたり、DDoSの踏み台として使われたりする。

　米スーパー大手のTargetへのPOS（Point of Sales：販売時点情報管理）レジへの攻撃では、空調機器を保守している会社からネットワーク経由でマルウェアが侵入し、購買情報やクレジットカード情報などの個人情報が漏洩したことで経営が悪化し、CEO（最高経営責任者）の辞任につながった。今後は、自動車などのコネクティッド製品が広がることによって、IoT脆弱性脅威の影響度は高まる。