
「日本企業に対するインシデント解説」インシデント対応における調査手法
インシデント対応における調査のプロセスの概要、各々のプロセスにおける重要なポイントおよび注意事項、PwCサイバーエンジニアリングチーム独自の調査方法と進め方について解説します。
どのような人物または集団が、何を狙って攻撃しているのか――。サイバー攻撃への対策を実施するには、犯人像が分からなければ効果的な対策は困難です。そこで本シリーズでは攻撃者の分類や攻撃手法の紹介を通して、日本企業がどう対応していくべきかを考えます。今回は攻撃者を動機別に大きく4つに分類し、その手口を解説します。
インターネット上では、さまざまなサイバー攻撃者がそれぞれの目的を達成するため、見ず知らずの人または組織へ、サイバー空間を介して攻撃を行っています。インターネットが誕生したばかりのころ、サイバー攻撃の多くは愉快犯によるものでした。自身のスキルを誇示するための攻撃が主流であり、その内容もサイト上の表示を変えたり、データを改ざんしたりといった、いたずらのような行為が目立ちました。時代を経ていたずらは深刻化し、インターネットが一般普及した1990年代後半には大きな社会的被害をもたらすまでに発展しました。その後、金銭を目的とした攻撃が目立つようになり、情報を盗むことを目的とした攻撃が日常化しました。さらに今日では、サイバー空間を介した諜報活動が本格化し、国家間のサイバー紛争も起きるようになっています。ハッキングを手段として、敵対する国家や企業のサイトを攻撃して政治意思を表示する活動も多く見られるようになりました。
PwCはこうしたサイバー攻撃の趨勢を踏まえて、セキュリティ脅威を引き起こす攻撃者を4つに分類しています(図表1)。
攻撃者の各カテゴリーを見ていきましょう。
ここからは、日本企業に対して近年に行われたサイバー攻撃の傾向を見ていきます。PwCのサイバーセキュリティエンジニアリングチームが2019年6月から2020年6月に支援した企業のサイバーインシデント対応においては、さまざまな攻撃者の痕跡が確認されました。
図表2の通り、金銭を目的とした犯罪者の占める割合が最も高く、身代金を目的とするランサムウェアを利用する攻撃が大半を占めていました。ランサムウェアによりデータが暗号化され、システムおよびデータが利用不可能な状態となり、その復号キーを入手するために身代金を支払うよう要求されるのです。
攻撃の対象となるシステムについては、オンプレミス環境に加えて、クラウド環境も増加傾向にあります。また、一般的なIT業務環境に留まらず、工場の産業用制御(ICS)システムに対する攻撃も確認されています。
また、単純な金銭ではなく、金銭価値が高い個人情報を狙った攻撃も確認されています。数年前から流行しているのは、メールアドレスやメールの設定情報などを含むメール関連情報を窃取する攻撃です。銀行口座に関連した情報を狙うマルウェアをメールの添付ファイルとして配布し、感染させることで、端末に保存されているメール関連情報を盗みます。攻撃者は窃取したメール情報を悪用して、感染したメールアカウントから取引先や組織内の従業員にマルウェア付きのメールを送信し、さらに感染範囲を拡大することによって、攻撃活動の利益の最大化を図っています。このようなメール関連情報を狙った攻撃もまた、オンプレミス環境に限らず、クラウド上のメールサービスでも発生していることが確認されています。
一方、社会の重要インフラや知的財産に関する情報を目的とし、数年にわたってスパイ活動を行う敵対国家が、全体の4分の1の割合を占めています。PwCが支援したインシデント対応の中で、この分類に属するものとして、ある業種のビジネスの動向を分析するシンクタンクを狙った標的型攻撃がありました。調査によって、攻撃者は日本の土木建設企業や航空宇宙企業、通信企業や官公庁などを標的とした中国のサイバースパイ集団、APT10グループ※1であったことが判明しました。彼らはシンクタンクの研究・調査内容を把握することを目的としていたと考えられます。また、企業の知的財産を入手するため、海外拠点を標的とした事例もあり、多方面から脆弱な入り口を探っていることが伺えます。これは昨今に増加傾向にある攻撃手法であり、サプライチェーン攻撃と言われています。組織活動のサプライチェーン(供給網)における脆弱性に付け込んだ攻撃であり、標的とする組織を直接狙うのではなく、第三者を踏み台にして攻撃する手法です。
今回は、攻撃者の4つの分類とその目的について述べてきました。次回は各攻撃者の攻撃手法を説明します。
インシデント対応における調査のプロセスの概要、各々のプロセスにおける重要なポイントおよび注意事項、PwCサイバーエンジニアリングチーム独自の調査方法と進め方について解説します。
インシデントに対応するための「準備」が万全に行われていない場合、インシデント発生からの回復力が低下する恐れがあります。インシデント対応の土台である準備段階で、何をどのように整備する必要があるかを解説します。
敵対国家、組織犯罪、ハクティビスト、破壊行為者というサイバー攻撃者の4分類それぞれの攻撃手法について、最新の事例と共に紹介します。
サイバー攻撃への対策を実施するには、犯人像が分からなければ効果的な対策は困難です。攻撃者の分類や攻撃手法の紹介を通して、日本企業がどう対応していくべきかを考えます。今回は攻撃者を動機別に大きく4つに分類し、その手口を解説します。
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
各国サイバーセキュリティ法令・政策動向シリーズの第2回目として、インド政府のデジタル戦略と組織体制、セキュリティにかかわる法律および規則とその動向などについて最新情報を解説します。