Customer Security & Trust 担当コーポレートバイスプレジデント
トム バート (Tom Burt)
※本ブログは、米国時間 10 月 5 日に公開された ”Espionage Fuels Global Cyberattacks” の抄訳を基に掲載しています。
この 1 年間、サイバー攻撃の影響は 120 か国に及んでおり、政府主導の諜報活動や、影響工作 (IO: Influence Operations) も増加しています。こうした攻撃の半数近くが NATO 加盟国を標的とし、40% 以上が重要インフラの建設や保守に携わる政府機関や民間企業を標的にしたものでした。昨年は、ランサムウェアによる破壊や金銭的利益を目的とした攻撃が大きな話題となりましたが、データによると、サイバー攻撃の主な動機は、情報の窃取、通信の傍受、閲覧内容の操作といったものに回帰しています。たとえば、以下のようなケースがあります:
- ロシアの諜報機関は、ウクライナにおける破壊的サイバー攻撃や広範な諜報活動を継続する一方で、対ウクライナ戦争を支援するための情報工作にサイバー攻撃のフォーカスを向けています。
- かつては標的のネットワークをダウンさせることに重点を置いていたイランの攻撃も、今日では地政学的な目標を推進するために世論操作のメッセージを拡大したり、ネットワークを流れる機密データを盗聴したりする方向に移っています。
- 中国は、「一帯一路」構想や地域政治を推進するための情報を得るため、米軍の重要施設を含む米国の機密情報を得るため、重要インフラ事業体のネットワークへのアクセスを確立するために、諜報活動を拡大してきました。
- 北朝鮮は、潜水艦技術に関わる企業を標的にし、秘密裏に機密情報を盗み出そうとしていました。同時に、数億ドルものクリプトカレンシーを盗用するサイバー攻撃も別途行っています。
これらは、2022 年 7 月から 2023 年 6 月にかけての国家活動、サイバー犯罪、防衛手法の動向を網羅した年次報告書 Microsoft Digital Defense Report (第 4 版) から得られた知見の一部です。
より多くの国家と業種が攻撃対象に
昨年は、米国、ウクライナ、イスラエルへの攻撃が依然として最も多い一方で、世界的に攻撃の対象範囲が拡大しました。これは特に、ラテンアメリカやサハラ以南のアフリカなど、南側諸国において顕著です。イランは、中東において操作を増加させました。諜報活動へのフォーカスの移行に伴い、政策立案や実行に携わる組織が最も多く標的とされました。
地域別に最も標的にされた国家は以下のとおりです*。
| 欧州 | 中東と北アフリカ | アジア太平洋 |
| 1. ウクライナ (33%) | 1. イスラエル (33%) | 1. 韓国 (17%) |
| 2. 英国 (11%) | 2. アラブ首長国連邦 (12%) | 2. 台湾 (15%) |
| 3. フランス (5%) | 3. サウジアラビア (9%) | 3. インド (13%) |
| 4. ポーランド (5%) | 4. ヨルダン (6%) | 4. マレーシア (6%) |
| 5. イタリア (4%) | 5. イラク (5%) | 5. 日本 (5%) |
| 6. ドイツ (3%) | 6. バーレーン (4%) | 6. オーストラリア (5%) |
*詳細データについてはレポートをご参照ください。
離散民族コミュニティへのフォーカスを強めるロシアと中国
ロシアも中国も、さまざまな離散民族コミュニティに対する影響工作を拡大しています。ロシアは、世界のウクライナ人コミュニティを威嚇し、さまざまな国、特にポーランドやバルト三国の戦争難民と受け入れ側のコミュニティの間に不信感を植え付けることを目指しています。それに対して中国は、秘密のプロパガンダを広めるために、数十のプラットフォームにわたって連携したアカウントの大規模なネットワークを展開しています。そこでは、世界の中国語圏などのコミュニティを直接ターゲットにして、米国の政府機関を誹謗中傷し、何百人もの多言語インフルエンサーを通じて中国のポジティブなイメージを宣伝しています。
影響工作とサイバー攻撃の融合
国家支援アクターが、自分の望むプロパガンダを広めるために、サイバー作戦と並行して影響工作を行うケースが増えています。その目的は、敵対国の民主主義制度を弱体化させるために、国内および世界の世論を操作することです。これは、武力紛争や国政選挙において行われる場合に最も危険です。たとえば、ウクライナ侵攻後、ロシアは一貫して軍事攻撃やサイバー攻撃とタイミングを合わせて影響工作の作戦を展開しました。同様に、イランは、2022 年 7 月と 9 月に、アルバニア政府に対する破壊的なサイバー攻撃に続いて、現在も進行中の組織的影響工作を行いました。
国家ごとの動向
脅威活動は全体的に増加していますが、特に活発な国家支援アクターの動向も観察されています。
- ウクライナの NATO 同盟国を標的にするロシア
ロシアの国家支援アクターはウクライナ関連の活動を拡大し、キエフの同盟国 (主に NATO 加盟国) を標的にしています。2023 年 4 月と 5 月、マイクロソフトは欧米の組織に対する活動の急増を観測しました。そのうちの 46% は NATO 加盟国、特に米国、英国、ポーランドに対するものでした。複数のロシア国家支援アクターが欧米の外交官やウクライナ政府関係者を装い、アカウントへのアクセスを試みました。その目的は、ウクライナに関する西側の外交政策、国防計画と意図、戦争犯罪捜査に関する諜報を得ることでした。 - 米国の国防機関、南シナ海諸国、「一帯一路」構想のパートナーを標的にする中国
中国の攻撃活動の拡大と高度化は、世界への影響力増大と情報収集という二重の目的を反映しています。中国の標的は、米国の国防機関や重要インフラ、南シナ海諸国 (特に台湾) であることがほとんどですが、中国自身の戦略的パートナーも含まれます。レポートに詳述されている米国のインフラに対する複数の巧妙な攻撃に加えて、中国を拠点とするアクターがマレーシア、インドネシア、カザフスタンといった中国の「一帯一路構想」のパートナー企業も攻撃していることをマイクロソフトは確認しています。 - アフリカ、ラテンアメリカ、アジアに新たな攻撃をもたらすイラン
昨年は、イランの国家支援アクターによる攻撃の複雑性が増しています。イランは、イラン国内で不安を煽っているとみなしている西側諸国だけでなく、また、地理的な範囲も拡大し、より多くのアジア、アフリカ、ラテンアメリカ諸国にも標的を広げています。影響工作においては、イランはパレスチナの抵抗勢力を強化し、イスラエル市民にパニックを引き起こし、湾岸アラブ諸国のシーア派の不安を煽り、アラブとイスラエル関係の正常化に対抗するためのシナリオを推進してきました。また、イランはロシアとの活動の連携を強化する取り組みも行っています。 - ロシアの組織などを標的にする北朝鮮
昨年、北朝鮮は、特に暗号通貨の窃盗やサプライチェーン攻撃などにおいて、サイバー攻撃の洗練度を高めています。さらに、北朝鮮は、スピアフィッシングメールや LinkedIn のプロファイル情報を使って、世界中の朝鮮半島情勢専門家を標的にした情報収集を行っています。最近行われたプーチンと金正恩の会談にもかかわらず、北朝鮮は、特に原子力エネルギー、防衛、国家政策の情報収集のためにロシアを狙っています。
AI が、新たな脅威と共に新たな防御手段を創り出す
攻撃者はすでに AI を武器として使い、フィッシングメッセージを洗練したり、合成画像を使って影響工作を改善したりしています。しかし、脅威の検知、対応、分析、予測といったサイバーセキュリティの側面を自動化し、補強する AI は、効果的な防衛にも極めて重要です。また、AI は、複雑なデータから自然言語による洞察と推奨を生成する大規模言語モデル (LLM) を実現し、分析担当者の作業をより効果的かつ迅速にしてくれます。
私たちは、すでに、AI を活用したサイバー防御がサイバー攻撃の潮流を逆転させているのを目の当たりにしています。たとえば、ウクライナでは、AI がロシアからの攻撃に対する防衛に役立っています。
革新的 AI が社会のさまざまな側面を再構築する中で、私たちはユーザーの信頼とプライバシーを維持し、長期的な利益を生み出すために重要である、責任ある AI の実践に取り組まなければなりません。生成 AI は、テキスト、画像、動画、音声などのリアルなコンテンツの作成など、脅威アクターが偽情報を広めたり、悪意のあるコードを作成したりするために悪用可能であり、この新たな課題に対処するためにサイバーセキュリティの実践と脅威モデルを進化させる必要があります。このような新たな脅威の一歩先を行くために、マイクロソフトは、すべての AI 製品とサービスが、AI の原則を守る方法で開発され、使用されるようにすることに引き続きコミットしていきます。
サイバー犯罪の状況
サイバー犯罪者と防御担当者の間の追いかけ合いは常に変化し続けています。昨年、脅威グループが攻撃のペースを大幅に加速した一方で、マイクロソフト製品に組み込まれた保護機能が、数百億件にのぼるマルウェアの脅威をブロックし、2,370 億件のパスワード総当たり攻撃を阻止し、619,000 件の分散型サービス妨害 (DDoS) 攻撃 (インターネットトラフィックの洪水でサーバー、サービス、ネットワークを無効化することを目的とした攻撃) を軽減しています。
また、犯罪者はリモート暗号化によって自身の痕跡をより効果的に隠したり、仮想マシンなどのクラウドベースのツールを使用したりすることで、匿名性と有効性を高めようとしています。しかし、民間と公共のパートナーシップが強化されたことで、捜査機関に捕獲される可能性は増しています。たとえば、「Target」として知られるランサムウェア運営者が摘発され、逮捕・起訴されました。しかし、犯罪者はシステムに最も容易に侵入できるポイントの探索を続けており、彼らの一歩先を行くためには継続的かつ加速度的な取り組みを強化していくことが必要です。
ランサムウェア攻撃の巧妙化と迅速化
マイクロソフトの遠隔測定によると、人手により操作されたランサムウェア攻撃は 2022 年 9 月以降 200% 増加しています。一般的に、このような攻撃は全面的には自動化されておらず、「キーボードへの手入力」を伴うタイプの攻撃です。典型的には、独自にカスタマイズされた身代金要求により組織全体を標的にします。
攻撃者はまた、攻撃形態を進化させ、自分の痕跡を最小限に抑えています。攻撃者の 60% がリモート暗号化を使用しているため、プロセスベースの修復は効果的ではありません。
これらの攻撃は、管理されていないデバイスや持ち込みの私物デバイスへのアクセスを試みるという点でも注目に値します。マイクロソフトが観測した侵害の 80% 以上が、このような管理されていないデバイスから発生しています。また、ランサムウェアの攻撃者が、一般的ではないソフトウェアの脆弱性を悪用するケースが増えており、攻撃の予測や防御がより困難になっています。
また、ランサムウェア犯罪者は被害者に圧力をかけ、金銭の支払いを行わせるために、盗んだ情報を開示すると脅迫します。2022 年 11 月以降、脅威アクターによるサイバー攻撃が成功した後の潜在的なデータ流出の事例が倍増していることが確認されています。しかし、すべてのデータ盗難がランサムウェア関連というわけではありません。クレデンシャルハーベスティングや国家による工作活動の可能性もあります。
パスワードベース攻撃と多要素認証 MFA 疲労攻撃 (MFA fatigue) が急増
MFA は、ウェブサイトやアプリケーションにアクセスするために、パスワードと顔認証あるいはワンタイムパスコードなど、2 つ以上の「要素」を提供することをユーザーに要求する認証方法であり、ますます一般的になっています。MFA の導入は、組織が攻撃に対して行える最も容易で効果的な防御策の 1 つであり、漏洩のリスクを 99.2% 低減します。その一方で、ユーザーに MFA 通知を大量に送信し、ユーザーが「MFA 疲労」により最終的に認証を承認し、アクセスを提供することを期待する脅威アクターが増えています。
この 1 年で、マイクロソフトは、1 日あたり約 6,000 件の MFA 疲労攻撃を観測しています。さらに、2023 年第 1 四半期には、クラウド ID に対するパスワードベースの攻撃が、特に教育セクターにおいて、1 か月あたり約 30 億件から 300 億件以上へと 10 倍以上に激増しました。これは、平均して毎秒 4,000 件のパスワード攻撃が行われていることを意味します。
唯一の安全な防衛策は集団的防衛
Microsoft Digital Defense Report が示した脅威の規模や特性は、悲観的なものに見えるかもしれません。しかし、攻撃者を打ち負かすためのテクノロジ面でも大きな前進があり、同時に、国境、業界、官民の隔たりを超えた強力なパートナーシップが築かれつつあります。このようなパートナーシップは、私たち全員の安全を守る上でこれまで以上に大きな成果を上げており、だからこそ、今後もそれを一層拡大し、深めていくことが不可欠なのです。今後 1 年半に、民主主義国家の有権者の約 75% に投票の機会が与えられます。選挙を安全に行い、民主主義制度を堅固に維持することが、私たちの集団的防衛の礎石です。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。
