掲載日:2021/09/10

サイバー犯罪者が国家レベルのツールやテクニックを企業に適用することへの懸念

4月、我々は学術調査「国民国家、サイバー紛争とTHE WEB OF PROFIT」により、国家によるサイバー攻撃がより頻繁に、多様に、そしてオープンになってきていることを明らかにしました。その中でも特に注目すべき点は、2017年から2020年の間に、「重大な」国家によるインシデントが100%増加していることでした。本日は、1,100人のIT意思決定者(ITDM)を対象としたグローバル調査の結果をご紹介します。この調査では、国家による攻撃の増加に関する懸念と、企業にとってのリスクの影響について検討しています。

 

サイバー犯罪者によるソフトウェアサプライチェーン攻撃

回答者の72%が、国家による攻撃で使用されたツールや技術が犯罪者に漏れ、企業への攻撃に使用されることを懸念していると答えています。このような懸念には十分な根拠があります。ここ数カ月の間に、SolarWindsへのサプライチェーン攻撃で使用された技術がランサムウェアギャングに採用されたという証拠が出てきており、この傾向は今後も続くと思われます。

 

「国家が開発したツールは、何度もブラックマーケットに出回っています。例えば、WannaCryのハッカーが使用したEternal Blueというエクスプロイトが有名です。現在では投資対効果が高いため、サイバー犯罪組織がそのレベルを高め、国家が開発した技術の一部を模倣するようになっています。最近、ランサムウェアギャングがKaseyaの顧客に対して行ったソフトウェアサプライチェーン攻撃は、その良い例です。ランサムウェアギャングがこのようなソフトウェアサプライチェーン攻撃を利用したのは、私の記憶ではこれが初めてです。」

 - HP Inc.のパーソナルシステムズ事業、セキュリティ部門グローバル責任者、Ian Pratt

 

一部のランサムウェア・アズ・ア・サービス(RaaS)グループは、資金が潤沢になったことで、ソフトウェアサプライチェーン攻撃など、これまで国家レベルでしかできないと考えられていたタイプの攻撃も可能になっています。意欲的なサイバー犯罪者グループは、ターゲットに対してどのような戦術、技術、手順(TTP)が効果的であるかを他の攻撃者から学ぶことで、自分たちの活動を最適化しています。例えば、RaaS運営グループMazeが、被害者に身代金の支払いを迫る戦術としてデータ恐喝を使い始めた後、他の主要なRaaS運営グループがすぐにそれに倣いました。今回のKaseyaへのサプライチェーン攻撃で懸念されるのは、攻撃ベクトルが非常に効果的に多くのターゲットを感染させることができたため、金銭的な動機を持った脅威アクターによるソフトウェアサプライチェーン攻撃がより日常的なものになる可能性があることです。

 

「以前は、政府機関や大企業に供給していない、そこそこの規模の顧客基盤を持つ独立系ソフトウェア・ベンダー(ISV)が、サプライチェーン攻撃の踏み台として狙われる可能性は低かったかもしれません。しかし現在では、あらゆる種類のISVがそのソフトウェアやサービスを侵害して、顧客基盤を攻撃するための対象となっています。」

 - HP Inc.のパーソナルシステムズ事業、セキュリティ部門グローバル責任者、Ian Pratt

 

主な発見

ITDMの半数以上(58%)が、サイバー犯罪者からの攻撃だけでなく、自社のビジネスが国家による攻撃の直接の標的になることを懸念していることが今回の調査でわかりました。さらに70%が、サイバー戦争の「巻き添えを食う」可能性があると考えていました。国家によるサイバー攻撃に関連する具体的な懸念事項については、ITシステムやデータの破壊行為が主なもので、回答者の約半数(49%)がこれに該当しました。その他の懸念事項は以下のとおりです。

 

  • 事業活動の破壊(43%)
  • 顧客データの盗難(43%)
  • 収益への影響(42%)
  • 会社の機密文書の盗難(42%)

 

さらに、レポート「国民国家、サイバー紛争とTHE WEB OF PROFIT」によると、企業は現在、国家レベルの攻撃の第一の標的となっていることがわかっています。

 

「これは、企業が真剣に取り組まなければならない非常に現実的な脅威です。国家のツールや技術を使ったサイバー犯罪者集団からの防御であれ、国家そのものからの防御であれ、企業はこれまで以上に強固な敵に直面しています。このような状況下では、あらゆる規模の企業が、サイバーリスクを管理するためのアプローチを再検討する必要があります。効果的な単一のツールやテクニックは存在しないため、企業はセキュリティに対してよりアーキテクチャによるアプローチをとる必要があります。これは、きめ細かなセグメンテーション、最小特権の原則、強制アクセス制御などにより、アタックサーフェスを積極的に縮小する強固なセキュリティアーキテクチャによる緩和を意味します。」

- HP Inc.のパーソナルシステムズ事業、セキュリティ部門グローバル責任者、Ian Pratt

 

国民国家、 サイバー紛争と THE WEB OF PROFIT

ファイル名
hp-bps-web-of-profit-report_APR_2021_Jpn.pdf
サイズ
3 MB
フォーマット
application/pdf

 

 

本調査について

この考察は、イギリス、アメリカ、カナダ、メキシコ、ドイツ、オーストラリア、日本のIT意思決定者1,100人を対象にしたTolunaの調査に基づいています。フィールドワークは2021年3月19日~4月6日に実施されました。調査はオンラインで行われました。

関連記事