「取引先を装うメール」きっかけのことも 中小企業でも無視できないサイバー攻撃、その手法と注意点を聞いた

インターネットが普及してからというもの、長年にわたって頭の痛い問題であり続けているサイバー攻撃。ハッキングによってコンピューター内の情報を盗み出したり、はたまた他のシステムを攻撃するための踏み台にしたりと、さまざまな被害が出続けています。

特に被害が大きくなりやすいのが、個人ではなく企業や自治体などのコンピューターを狙ったもの。しかし、それらの攻撃には具体的にどのような種類が存在し、なぜ致命的なダメージを与えることができるのでしょうか? そして、それらの攻撃に対してはどういった対策をとればいいのでしょうか?

横浜国立大学の吉岡克成准教授に、サイバー攻撃のリスクや影響、そして攻撃されないための対策についてお聞きしました。


吉岡克成 (よしおか・かつなり)さん
横浜国立大学、大学院環境情報研究院/先端科学高等研究院・准教授。専門分野は情報システムセキュリティ、やマルウェア対策など。研究室ではおとりシステム「ハニーポット」を用いて、マルウェアに感染したIoT機器を通したサイバー攻撃の動向を分析。観測結果は、世界30カ国を超える地域に提供されている。
総務省による「サイバー攻撃被害に係る情報の共有・公表ガイダンス」 検討会・委員、サイバーセキュリティタスクフォース・委員などを務める。
Webサイト:http://yoshioka.ynu.ac.jp/

「被害がわからないから、止めざるを得ない」で影響が

──そもそも現在のサイバー攻撃って、対象へ具体的にどのような攻撃をしてくるものなのでしょう?

吉岡先生:「サイバー攻撃」と言っても、実際の攻撃方法は非常に多様です。わかりやすいケースだと、関係者を装って、業務に関係あるように見せかけたメールが飛んできて、そのメールの添付ファイルを開いたらマルウェア(※)に感染するケースですね。

他には、仕事の関係者に偽装したメールにURLが書かれていたりとか。アクセスするとフィッシングサイトにつながって、業務を行うためのクラウドサービスにログインするためのIDやパスワードを抜くやり方ですね。古典的ですが、メールを使った攻撃はいまだにすごく多いです。

※ 広義の「悪意を持って、侵入先の機器で悪い働きをするソフトウェア」のこと。いわゆるコンピュータウイルスも、マルウェアの一種にあたる

──どちらも「パソコンの使用者に働きかけ、情報を盗み取る」という攻撃ですね。

吉岡先生:そうです。相手のパソコンに侵入する場合、基本的には情報を抜くためという目的が多いですね。入手した情報は売ってお金にすることもありますし、侵入先の企業に、盗んだデータの身代金を要求することもあります。

あとは「侵入に成功した」こと自体が、企業へ脅迫するネタになるんです。企業の信用に関わることなので、「侵入されたという事実を公表するぞ」という形で脅迫するんですね。

──なるほど……! 情報はすぐ拡散されるでしょうし、取引先からの信頼が落ちたり、身代金以上のダメージがあるかもしれません。

吉岡先生:あとは、オンライン上でクラウド型のサービスを提供している企業には、大量の通信を送り込んでサービスを妨害することもあります。これも「やめて欲しければお金を払え」という脅迫なので、基本的にはお金のような、対価を求めて攻撃をかけるパターンが多いです。

ただ、高い価値を持つ情報自体を狙った攻撃というのもあるので、お金目当てだけでもありません。国に対して行われるサイバー攻撃等では情報そのものがターゲットになることもありますし。

──サイバー攻撃で、実際に大きな被害が出たことってあるんでしょうか?

吉岡先生:近年だと、アメリカのコロニアル・パイプラインというパイプラインの運用企業が攻撃を受けた事件があります(※)。

※ 同社はアメリカ東海岸に対する、約半分の燃料供給を担う企業。2021年5月に国外の犯罪者グループよりサイバー攻撃を受け、石油パイプラインの一時的な停止を余儀なくさせられた。後に同社CEOは、攻撃者にデータの身代金440万ドルを支払ったことを発表。従業員のIDとパスワードがサイバー攻撃のきっかけとなった可能性が高い、とされている

──具体的にどのような被害が出たのでしょうか。インフラ事業者ということは、侵入者によってパイプラインを乗っ取られたとか……?

吉岡先生:いえ、そこまでの事態にはなっていません。IT系とOT(オペレーショナルテクノロジー。実際のパイプラインの操作を運用する部分)系のシステムがあり、攻撃を受けたのは主にIT系の方だったんです

ですので、侵入されて、パイプラインを乗っ取られたというわけではありません。

──では、SF映画みたいに「ハッキングされてコントロールをまるごと奪われた!」ということになったわけではないんですね。

吉岡先生:そうですね。程度にもよりますが、映画のようにすべてを自由に操るということではないと思います。ただ、やられた側からすると「すでに侵入されている以上、どこまで深く攻撃されているかわからない」「なので、一旦止めざるを得ない」ということになるんです。

パイプラインは社会的なインフラで、人間の命に関わるシステムです。様々な安全装置があるとはいえ、十分な制御ができないと危ないし、攻撃によってどんな影響が出るかわからない以上、システムをすべてストップするしかない、という判断がなされたのだと思います。

「ばら撒き」と「標的」、中小企業が注意すべき方法は

──近年は、中小企業がサイバー攻撃のターゲットになるパターンも増えているそうですね。

吉岡先生:そうですね。大企業以外が相手にされていないかというと、そういう訳でもないんですよ。

サイバー攻撃には大きく分けて2つあります。まずは、大量になりすましメールやフィッシングメールをばらまいたり、ネットワークを網羅的にアクセスして穴を見つけるような「ばら撒き型」。そして、大きな利益を狙って政府や重要機関、企業を狙う「標的型」です。

──それぞれ詳しく教えてください。まず、「ばら撒き型」とは?

吉岡先生:ばら撒き型は、言ってしまえば「数撃ちゃ当たる」攻撃方法です。例えば、中小企業がよく使うNAS(ネットワーク・アタッチド・ストレージ)というネットワーク上のハードディスクがあるんですが、これが設定の不備により、会社の外からもアクセスできることがあるんですよね。そういうセキュリティが脆弱な部分を探して、ウイルスに感染させ、自動的に攻撃させるんです

あと、「エモテット(Emotet)」というなりすましメールもばら撒き型の一種ですね。過去にメールのやりとりをした相手のふりをして、「再送します。よろしくお願いします」みたいな定型文と添付ファイルを送ってくるんです。このファイルを開くと、ウイルスに感染してしまう。

──なるほど、手当り次第に攻撃をするから、中小企業でも十分ターゲットになりうるわけですね。では、「標的型」はどういったものなのでしょう。

吉岡先生:サイバー攻撃の増加を受けて、最近は大手企業や公的機関のセキュリティはどこもしっかりしています。なので、大企業を最終ターゲットとしたときに、本丸を直接狙うだけでなく、その周辺から落とすために、ターゲットと取引のある関係者や、中小企業を狙うんです

例えば、攻撃される大企業の立場になったとき、知らない相手から届いたメールは開かなくても、取引先や、自社の支店、海外支社からのメールだったら信用しちゃいますよね。でも、そういった取引先などの全ての会社が、同じ水準のセキュリティで守られているかといえばそうではないわけです

吉岡先生:そういった外堀に侵入して乗っ取ると、そこの社員のメールアドレスからターゲットに連絡を取ることができる。それを踏み台にして内部に入り込むわけです。

過去に研究で発見した事例として、政府や省庁を目標としてそれと関わりのある有識者を狙ったと思われるものや、公的機関を目標としてそのOBを狙ったケースを見たこともあります。企業だけでなく個人が踏み台になることもあるようです。

──中小企業には、「侵入のとっかかり」としての利用価値もあるんですね。

吉岡先生:標的型の攻撃の足がかりにするにしても、やっぱり攻撃方法としてよくあるのは人間の判断ミスを誘引する方法です。メールの添付ファイルを開かせたりすることが糸口になるのは、どちらにも共通しているんですよ。

高度な攻撃のため、組織化するグループも

──組織化するまでには、どういった経緯があったのでしょう?

吉岡先生:例えば、ランサム攻撃に対して身代金を払っても、実際にはデータが復元できない場合があります。

──そうなると、企業側としては「お金を払っても払わなくても同じ」「だったら払わない」になりますよね。

吉岡先生:そうですね。しかし、「お金を払わなくても同じ」という風潮になると、攻撃者は「攻撃は成功したのにお金を受け取れない」ということになります。それは困るので、身代金を受け取ったあとに、データ復元のサポートまでしてくれる場合があります

それに対応するために攻撃側も工夫していて、データ復旧のためのサポートチームがいたりします。ダークウェブでの身代金の支払いなどに関しても、サポートチャットでやり方を質問できたりするんです。

──サイバー攻撃の「アフターサポート」が手厚くなっているとは……。

吉岡先生:組織化・分業化した結果、会社みたいになるグループも出てきています。ちゃんと脅迫相手とコミュニケーションが取れる交渉係を置いていたりとか。

なりすまし以外でも言語は重要で、例えば企業から情報を盗んでも、その情報がどういう意味でどれだけ重要なのか理解できないと脅迫もできないですよね。だから、高度な攻撃をかけるには情報の価値がわかる人間が必要になると思われます。

──もう素人が太刀打ちできる感じじゃないですね……。

吉岡先生:昔はハッカー個人の侵入技術を誇示したいという動機もありましたが、現在は個人だけでなく、ビジネスとして組織で動いている場合も多いと思います。

一般のICT分野のビジネスにおいても、起業する際には技術がわかる人間だけでは組織はうまくいかない。組織の仕組みを作ったり、対外的な交渉をしたり、どのように利益を確保するか、技術以外の部分が重要です。サイバー攻撃もそういった面が以前よりしっかりしてきており、それによって大きな被害が出るようになっているのかな、と。

大事なのは「当たり前の対策を、きちんとする」こと

──そういったサイバー攻撃に対して、吉岡先生が行っている「ハニーポット」を使った研究ではどのようなことを調べているんでしょうか?

吉岡先生:「ハニーポット」とは、ネット上に用意した「おとりのシステム」のことです。わざと穴があるシステムをネット上に用意して、そこに自動的に侵入してきた攻撃側がどういうことをするのかを見るのが目的ですね。

最近は、末端のIoT機器が攻撃を受けていることがわかってきたので、そういった攻撃を観測することが一番多いです

▲忘れがちだが、ネットワークカメラもインターネットに繋がっている電子機器。サイバー攻撃の起点になる可能性は十分にある

──確かに、IoT機器はネットに繋がっているのが前提ですからね。

吉岡先生:そういった機器に対する攻撃はほぼ自動化されていて、ウイルスに侵入されると今度は侵入された機器が他のネットに繋がっている機器を攻撃し出すんです。ウイルスに侵入されているのに傍から見たらそれに気づけず、気がついたらそこが起点になって周辺機器にウイルスをばらまいているんですよね。

私が用意したハニーポットに攻撃を仕掛けてくるのもそういった被害者兼加害者のような機器なんですが、これが想像以上に多くて。100万台という単位で感染が広まったこともあります。よく知られているのはネットワークカメラやルーターですが、それ以外にも太陽光パネルのモニタリング機材とか、医療機器などもありますね。

──100万台ですか……。医療機器にまで影響が出たら、もう命に関わる部分ですね。

吉岡先生:IoT機器は便利ですが、使う方からすると「まさかこんなものが感染するとは」という感じなんですよね。PCやスマホだとセキュリティ更新もかけるし対策ソフトも入れますが、これがIoT機器になると「管理する」という意識があんまりないユーザーが多い。それが実は毎日何百、何千という数字で他人を攻撃していても、全く気づけないわけです。

あとは、最近急にリモートで仕事をする環境を整えたような会社だと、セキュリティが二の次になっていることもあります。こういった状況も、攻撃につながりかねません。

──サイバー攻撃に対して、企業側が自分達を守るための具体的な対処法はあるんでしょうか?

吉岡先生:当たり前のことですが、自分の会社が外からどう見えているのかが大事です。「ネットに繋がって仕事ができればいい」というだけだと、危ない時代になっているんです。システムの入口と出口での最低限の認証や、いらないものが知らないうちに動いていないかを最低限調べておかないと危ない。

公衆衛生と似た意味合いでサイバー・ハイジーンという言い方をしますが、まずは「手をきっちり洗う」みたいな基本的な対策が効果的だったりするんです。実際のところ、「すごいハッカーがわずかな穴を狙う」みたいなケースより、セキュリティが甘いところを突いてくるパターンがすごく多いので。

──どう見てもスキがある、という状態をまずはなんとかした方がいいということですね。

吉岡先生:あとは、ヒューマンエラーを防ぐために、「こちらを騙して侵入しようとする」という攻撃があることをまず認識することが大事です。サイバー攻撃って、自動的に侵入される場合と、従業員のミスから侵入を許してしまう場合とどちらもあるのです。

あとは、ちゃんとおかしなことがあったということを報告すること。とにかく、放っておくとずっと他のシステムを攻撃し続ける、なんてことが起きてしまうんですよ。事後でもいいので、「仕事のメールだと思ってメールの添付ファイルを開いたけど、意味のある内容が出てこなかった」ということがあったら、絶対に報告するべきです。

──サイバー攻撃についての認識がないと、「やっちゃった!」とすら思わないこともありそうですもんね……。

吉岡先生:あと、会社の経営者やネットワークの担当者は、経産省による中小向けのガイドラインやチェックリスト(※)や総務省のテレワークセキュリティに関する手引き(チェックリスト)を参考にするのもいいと思います。こういったチェクリストを使いつつ、あらためて対策をしてハイジーンを高めることも大事ですし。

繰り返しになりますが、まずは「手洗い」のような基礎的な対策をきちんとやって、やられた時にはちゃんと報告をしてどうするかを事前に決めておくなど、当たり前のことをきちんとやれる体制を用意しておくのが、今後より大事になってくると思いますよ。

※ 他には、2022年4月の「春の大型連休に向けて実施いただきたいサイバーセキュリティ対策について注意喚起を行います」など。ガイドライン内では、各ケース別の対応方針のほか、「必要に応じてソフトウェアのバージョンアップを行う」「電子メールの不審な添付ファイルやリンクを開かない」といった基礎的な対応方針がまとめられている

──とにかく、「自分は大丈夫」という意識を捨てて、予防を意識しよう、ということですね……。本日はありがとうございました!

文=しげる/図版とイラスト=藤田 倫央/編集=伊藤 駿(ノオト)

この記事が気に入ったらいいね!しよう

いいね!するとi:Engineerの最新情報をお届けします

プライバシーマーク