日本企業に対するインシデント解説サイバー攻撃者は何を目的に攻撃するか

1．サイバー攻撃者の動機と手口

どのような人物または集団が、何を狙って攻撃しているのか――。サイバー攻撃への対策を実施するには、犯人像が分からなければ効果的な対策は困難です。そこで本シリーズでは攻撃者の分類や攻撃手法の紹介を通して、日本企業がどう対応していくべきかを考えます。今回は攻撃者を動機別に大きく4つに分類し、その手口を解説します。

インターネット上では、さまざまなサイバー攻撃者がそれぞれの目的を達成するため、見ず知らずの人または組織へ、サイバー空間を介して攻撃を行っています。インターネットが誕生したばかりのころ、サイバー攻撃の多くは愉快犯によるものでした。自身のスキルを誇示するための攻撃が主流であり、その内容もサイト上の表示を変えたり、データを改ざんしたりといった、いたずらのような行為が目立ちました。時代を経ていたずらは深刻化し、インターネットが一般普及した1990年代後半には大きな社会的被害をもたらすまでに発展しました。その後、金銭を目的とした攻撃が目立つようになり、情報を盗むことを目的とした攻撃が日常化しました。さらに今日では、サイバー空間を介した諜報活動が本格化し、国家間のサイバー紛争も起きるようになっています。ハッキングを手段として、敵対する国家や企業のサイトを攻撃して政治意思を表示する活動も多く見られるようになりました。

PwCはこうしたサイバー攻撃の趨勢を踏まえて、セキュリティ脅威を引き起こす攻撃者を4つに分類しています（図表1）。

攻撃者の各カテゴリーを見ていきましょう。

敵対国家
近年、情報窃取を目的としたスパイ集団が目立つ存在となっています。主に国家の指示あるいは資金援助を受けて、敵国に対し、巧妙なAPT（Advanced Persistent Threat：高度で継続的な脅威）により経済的・政治的な利益を持つ情報を標的とした攻撃を行います。標的となる情報は敵国の特定の組織にのみ属するため、目的を達成するまでは標的を変えることなく攻撃を繰り返す傾向にあります。
組織犯罪
この数年、攻撃者の最も多くは、金銭を目当てとする犯罪集団に属します。彼らは攻撃により窃取した情報をダークウェブと呼ばれる闇市場で販売し、金銭を獲得することを目的としています。攻撃対象は個人、企業を問わず無差別です。金融機関に関連する攻撃には、銀行口座やクレジットカード情報を狙うマルウェアの大量配布といったものもあります。また、金銭だけでなく、金銭的価値の高い個人情報や資格情報なども標的とされ、手法の多様化・高度化によって、国際送金などの銀行インフラストラクチャを標的とするケースが近年増えています。
ハクティビスト
ハクティビストと呼ばれる政治的・社会的主張をするサイバー攻撃者は近年、減少傾向にあります。自らの主義・主張を広めるために、敵対する主義・主張を持つ国家や企業のサービスの混乱を目的にウェブサイトの改ざんといった攻撃を行います。目標に対する手段を選ばないため、多くの場合、脆弱なサイトを無作為に探して攻撃対象を選びます。例えば特定の世界的イベントの開催に反対する運動があり、そのイベントのスポンサーや支援組織をハクティビストが否定的に見ている場合、標的とされる可能性があります。
破壊行為者
企業の経営、国家政策、経済などへ何らかの影響を与えることを目的とする破壊行為者の分類です。データまたはシステムの完全性を侵害、または破壊しようとするサイバー攻撃者です。彼らは業務運用の妨害、停止を目標にしますが、場合によって、それらは別の攻撃のカモフラージュとして利用されることもあります。過去には、工場の産業システムを制御不能にして生産ラインを停止させる、電力システムに不正侵入して大規模な停電を発生させるといった、組織単位の影響から社会的な影響に至るまでの攻撃が確認されています。

2．日本企業におけるインシデントから見る攻撃者の傾向

ここからは、日本企業に対して近年に行われたサイバー攻撃の傾向を見ていきます。PwCのサイバーセキュリティエンジニアリングチームが2019年6月から2020年6月に支援した企業のサイバーインシデント対応においては、さまざまな攻撃者の痕跡が確認されました。

図表2の通り、金銭を目的とした犯罪者の占める割合が最も高く、身代金を目的とするランサムウェアを利用する攻撃が大半を占めていました。ランサムウェアによりデータが暗号化され、システムおよびデータが利用不可能な状態となり、その復号キーを入手するために身代金を支払うよう要求されるのです。

攻撃の対象となるシステムについては、オンプレミス環境に加えて、クラウド環境も増加傾向にあります。また、一般的なIT業務環境に留まらず、工場の産業用制御（ICS）システムに対する攻撃も確認されています。

また、単純な金銭ではなく、金銭価値が高い個人情報を狙った攻撃も確認されています。数年前から流行しているのは、メールアドレスやメールの設定情報などを含むメール関連情報を窃取する攻撃です。銀行口座に関連した情報を狙うマルウェアをメールの添付ファイルとして配布し、感染させることで、端末に保存されているメール関連情報を盗みます。攻撃者は窃取したメール情報を悪用して、感染したメールアカウントから取引先や組織内の従業員にマルウェア付きのメールを送信し、さらに感染範囲を拡大することによって、攻撃活動の利益の最大化を図っています。このようなメール関連情報を狙った攻撃もまた、オンプレミス環境に限らず、クラウド上のメールサービスでも発生していることが確認されています。

一方、社会の重要インフラや知的財産に関する情報を目的とし、数年にわたってスパイ活動を行う敵対国家が、全体の4分の1の割合を占めています。PwCが支援したインシデント対応の中で、この分類に属するものとして、ある業種のビジネスの動向を分析するシンクタンクを狙った標的型攻撃がありました。調査によって、攻撃者は日本の土木建設企業や航空宇宙企業、通信企業や官公庁などを標的とした中国のサイバースパイ集団、APT10グループ^※1であったことが判明しました。彼らはシンクタンクの研究・調査内容を把握することを目的としていたと考えられます。また、企業の知的財産を入手するため、海外拠点を標的とした事例もあり、多方面から脆弱な入り口を探っていることが伺えます。これは昨今に増加傾向にある攻撃手法であり、サプライチェーン攻撃と言われています。組織活動のサプライチェーン（供給網）における脆弱性に付け込んだ攻撃であり、標的とする組織を直接狙うのではなく、第三者を踏み台にして攻撃する手法です。

今回は、攻撃者の4つの分類とその目的について述べてきました。次回は各攻撃者の攻撃手法を説明します。

※1 Operation Cloud Hopper［PDF 2,009KB］