独裁的指導者の攻撃性の増加に伴い、国家支援型のサイバー攻撃がより大胆に

国家支援型のサイバー攻撃がより大胆に

※本ブログは、米国時間 2022 年 11 月 4 日に公開された “Nation-state cyberattacks become more brazen as authoritarian leaders ramp up aggression” の抄訳を基に掲載しています。

2022 年 2 月 23 日、ロシアがウクライナに対して物理的な攻撃とデジタルな攻撃の両方を行ったことで、サイバーセキュリティの世界は新しい時代、すなわち、ハイブリッド戦争の時代に突入しました。今年度の Microsoft Digital Defense Report は、これらの攻撃に関する新たな詳細情報を示すと共に、世界各地の独裁的指導者から発信される攻撃のハイブリッドな特性についても論じています。

この 1 年間で、マイクロソフトが検知した国家支援型攻撃のうち、重要インフラを標的としたサイバー攻撃は全体の 20% から 40% へと急増しました。この急増は、ロシアがウクライナのインフラに損害を与えることを目的とし、米国を含むウクライナ同盟国をターゲットにした積極的なスパイ活動を行ったことが大きな要因となっています。ロシアはまた、IT 企業を攻撃し、NATO 加盟国の政府機関顧客の業務を妨害したり、その顧客から情報を得たりする試みを加速しています。過去 1 年間にマイクロソフトが検知したロシアの攻撃の 90% が、NATO 加盟国を標的とし、そのうちの 48% は NATO 加盟国に拠点を置く IT 企業を対象としたものでした。

critical infrastructure trends

今回のロシアの攻撃は、ウクライナや西側諸国に対するロシア政府の攻撃性の高まりを反映したものですが、政治的・物理的な攻撃とサイバー戦争を組み合わせたのはロシアだけではありません。

  • イランの攻撃アクターは、政権交代後、大胆な攻撃をエスカレートさせ、イスラエルを標的とした破壊的攻撃を開始し、中東地域に留まらず、米国の港湾当局など、米国と EU の重要インフラをターゲットとしたランサムウェア、ハッキング、情報漏洩作戦を展開しました。マイクロソフトは、イスラエルのデータを消去することを目的としたランサムウェアに偽装した攻撃を少なくとも 1 件検出しています。また、別のケースではイランに支援された攻撃アクターがイスラエルでミサイル着弾の緊急警報を鳴らす攻撃を行ったこともありました。
  • 北朝鮮は、2022 年前半、最も積極的なミサイル実験に乗り出すと共に、その攻撃アクターの 1 つが、世界中の航空宇宙企業や研究者からテクノロジを盗むための一連の攻撃を開始しました。また、別の北朝鮮攻撃アクターは、北朝鮮に関する報道を行う世界の報道機関やキリスト教団体にアクセスするために活動しました。さらに、第三の攻撃アクターは、暗号通貨会社に侵入して、同国の苦境にある経済を支える資金を盗み出そうとする試みを続けていますが、多くの場合、失敗しています。
  • 中国は、東南アジアでの影響力を増し、米国からの関与の高まりに対抗するため、スパイ行為や情報窃盗のサイバー攻撃を強化しています。2 月から 3 月にかけて、ある中国の攻撃アクターは、東南アジアの著名な政府間組織が米国政府と地域の指導者の会合を開催すると発表したタイミングで、その関連アカウント 100 個を標的とした攻撃を行いました。また、マイクロソフトは、中国とソロモン諸島が軍事協定を締結した直後にソロモン諸島政府のシステムで中国の攻撃アクターによるマルウェアを検出しました。中国は、ナミビア、モーリシャス、トリニダード トバゴなど、南半球の国々を標的とした宣伝活動でもそのサイバー能力を駆使しています。

中国からの攻撃の多くは、ゼロデイ脆弱性、つまりセキュリティコミュニティにはこれまで知られていなかった、ソフトウェアのパッチ未適用の穴を発見し、情報収集する能力の向上によってもたらされています。中国では、発見した脆弱性を他者と共有する前に政府に報告することを義務付ける法律が施行されたために、このような脆弱性情報の収集が増加しているようです。

昨年最も注目されたサイバー活動として国家支援型攻撃にフォーカスしたいところですが、その他の脅威、特に国家支援型攻撃よりもデジタルエコシステムの多くのユーザーに影響を与えるタイプのサイバー犯罪を見過ごすことはできません。

サイバー犯罪者は巧妙な営利企業的活動を継続

サイバー犯罪経済の産業化により攻撃ツールやインフラへのアクセスが容易になり、参入のスキル障壁が低くなったことで、サイバー犯罪は増加の一途をたどっています。昨年だけでも、1 秒あたりのパスワード攻撃数は 74% 増加したと推定されています。これらの攻撃の多くは、ランサムウェア攻撃を利用しており、身代金要求の件数は 2 倍以上に増加しました。しかし、これらの攻撃の影響は地域により異なります。北米と欧州では、マイクロソフトの対応チームに報告されたランサムウェアの件数が 2021 年と比較して全体的に減少していることが確認されました。しかし、同時期に中南米で報告された件数は増加しました。また、フィッシングメールも前年比で着実に増加していることが確認されました。COVID-19 をテーマにしたフィッシングは 2020 年と比較して減少しましたが、2022 年 3 月上旬からウクライナ戦争がフィッシングの新たな誘い水となりました。マイクロソフトの調査員は、ウクライナ国民を支援するためと称して、ビットコインやイーサリアムによる暗号通貨の寄付を募る正規の組織になりすましたメールが驚くほど増加していることを観測しています。

海外の攻撃アクターが、しばしばサイバー攻撃を模倣した効果的手法を用いて、国内外において信頼を損ない、世論に影響を与えるプロパガンダの影響力を行使

マイクロソフトはアナリストとデータサイエンスへの新たな投資を行い、このような脅威に対応するため、今年度のレポートには新たに「心理作戦」(influence operation) のセクションを加えました。マイクロソフトは、ロシアが自国民や他の多くの国の国民に、ウクライナへの侵攻が正当であると信じ込ませるために尽力してきたこと、また、欧米では COVID ワクチンの信用を落とすプロパガンダを行いつつ、国内ではその有効性を宣伝していることを観察してきました。また、これらの作戦とサイバー攻撃との重複が増加していることも確認されました。具体的に言えば、心理作戦では、以下のよく知られた 3 つのステップが採用されています。

  1. 攻撃者が組織のコンピュータネットワーク内にマルウェアを事前に配置するように、サイバー心理作戦では、公の場に事前に偽のストーリーが配置される。
  2. 政府が支援し、影響力を持つメディアやソーシャルメディアを通じてストーリーを広めるため、しばしば攻撃アクターの目標達成に最も有益な時期に、協調的キャンペーンが開始される。
  3. 国家が管理するメディアとその代理人が、ターゲットとする視聴者内でストーリーを増幅させる。

progression of foreign cyber influence operations

この 3 段階のアプローチは、たとえば 2021 年後半に、ウクライナの生物兵器やバイオラボと称される施設にまつわるロシアの虚偽のシナリオを裏付けるために利用されました。ロシアだけでなく、中国やイランを含む他の国々がプロパガンダ作戦を展開して、さまざまな問題に対する世界的な影響力を拡大しているのを私たちは観察してきました。

サイバーハイジーンの適切な実践が依然として最善の防御策であり、クラウドはサイバー攻撃に対し最も物理的・論理的なセキュリティを提供

今年度のレポートでは、人々や組織が攻撃から身を守るための方法について、さらに多くの提言がなされています。多要素認証の有効化、セキュリティパッチの適用、システムに対する特権的アクセス権設定における配慮、主要なテクノロジプロバイダーによる最新のセキュリティソリューションの導入など、基本に注意を払うことが最大のポイントです。一般的なエンタープライズ企業では、基本的なエンドポイントプロテクション製品では保護されていないネットワーク接続デバイスが 3,500 台あり、攻撃者はこれを悪用しています。また、攻撃を早期に発見することも重要です。多くの場合、サイバー攻撃の結果は、攻撃が始まるずっと前から確定しています。攻撃者は、脆弱な環境を利用して、初期アクセス、監視を行い、影響を拡大するためのラテラルムーブメント、暗号化、情報流出によって破壊を行います。最後のポイントとして、今年のレポートが考察しているように、人間的な側面を無視することはできません。セキュリティの専門家は不足しています。これは、官民に共通する課題です。そして、企業はセキュリティを組織文化として根付かせる必要があります。

本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。

Tags: , , , ,

関連記事