皆様、こんにちは。NTTの松原実穂子と申します。NTTでは、サイバーセキュリティに関する情報発信について担当しております。
本日は「コロナ時代のサイバー攻撃と内部犯行の実態」と題しまして、最近のサイバー攻撃の傾向と私たちが取るべき対策についてお話しします。
はじめに最近のサイバー攻撃の傾向について概観した後、増大しつつある内部犯行・内部脅威の特徴、そして身代金要求型ウイルス攻撃の増加の背景をご紹介します。身代金要求型ウイルスは、5月にアメリカのパイプライン大手コロニアル・パイプラインへのサイバー攻撃に見られるように最近よく使われる手口ですので、重点を置いてお話し致します。そして最後に、私たちが今後取るべき対策についてお話ししたいと思います。
最近のサイバー攻撃の特徴
最近のサイバー攻撃の特徴の一つとして挙げられるのが、被害額の上昇です。
なんと世界のサイバー犯罪の年間被害額は、生産性の低下や機会損失を含めると、2019年世界のGDPの7%弱を占めるまでになっています。これから4年後の2021年には、世界のGDPの1割以上、つまり一つの国のGDPよりもさらに大きな金額をサイバー犯罪の年間被害額が占めるまでになると見られます。つまりそれだけ経済安全保障にとって、サイバー攻撃は大きな脅威になってきているのです。
国別のサイバーセキュリティの現状
国別のサイバーセキュリティ対策への投資額を見た場合、日本と海外とではかなりの差があります。拙著『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社)から引用したこちらの表は、IDCが出しているサイバーセキュリティ製品とサービスの市場規模をそれぞれの国の人口で割った割合を示したものです。
日本の国民一人あたりのサイバーセキュリティ投資額は、アメリカの約3分の1、イギリスの2分の1、ドイツの3分の2となっています。
コロナ禍において、1年以上にわたってテレワークを続けてこられた方も多いでしょう。これだけITへの依存度が高まっているにもかかわらず、残念ながらサイバーセキュリティ対策が追いついていません。そのため、サイバー攻撃者たちは私たちのサイバーセキュリティ対策の隙を突いて、今が稼ぎ時とばかり攻勢を強めています。
私たちが特に関心を寄せている感染状況やワクチンの接種などのトピックに便乗したなりすましメールが、数多く確認されています。また、皆様も日々何通も受け取っていらっしゃるウェブ会議の招待メールに見せかけたなりすましメールも、増加しています。
5月のコロニアル・パイプラインへのサイバー攻撃でも使われた身代金要求型ウイルスの攻撃も特に増えました。IPAが毎年「情報セキュリティ10大脅威」と題してリストを発表していますが、今年初めて身代金要求型ウイルスが1位になっています。つまり、アメリカだけでなく、日本においても身代金要求型ウイルスの被害がそこまで増えているのです。
コロナ禍における脆弱な組織
ではなぜ今、コロナ禍においてサイバー攻撃の被害がこれだけ増しているのでしょうか。それには、いくつかの理由が考えられます。このコロナ禍において私たちはなかなか外出もままならず、オンライン上で過ごす時間が今まで以上に増えました。ワクチンをいつ接種できるようになるのか、感染は今どれくらい拡大しているのだろうかといった最新情報に私たちは飢えています。
こうした事情から、コロナ禍が始まる前に比べますと、なりすましメールの添付のクリック率が5%未満から40%以上にまで激増しました。それだけ私たちはなりすましメールに対して非常に脆弱になっています。
しかし、コロナ禍におけるサイバーセキュリティ対策はなかなか追い付いていません。テレワークに特化したITやサイバーセキュリティに関する研修を行なっている組織は、世界でわずか4割あまりしかないのです。テレワークを行なっている人々は、自分たちがどんなサイバー攻撃の脅威に晒されているのか、必ずしも認識していません。またこのコロナ禍における景気後退において、必ずしもサイバーセキュリティに対する投資が増えていないというのも懸念されるところです。
クラウドツールへのサイバー攻撃が激増
皆様もおそらくZoomやWebEx、Teamsといったクラウドツールを日々お使いのことと思います。私たちのクラウドツールへの利用度が高まるにつれ、実はこうしたアカウントに対するサイバー攻撃も激増しています。アメリカのセキュリティ企業「マカフィー」の調査によりますと、去年の5月時点でこうしたクラウドツールのアカウントへのサイバー攻撃が、なんと630%も増えてしまいました。
オンライン会議への偽招待メールの増加
そして、皆様が日々たくさん受け取っていらっしゃるオンライン会議への招待メールに見せかけたなりすましメールも増えています。例えば、Zoomミーティングへの招待メールに見せかけたメールが、日本でも見つかっています。
偽招待メールがきっかけで倒産した例も
また、こうした偽の招待メールがきっかけで、倒産という悲劇に見舞われた企業も出てきました。例えばオーストラリアのヘッジファンドでは、去年、偽のZoom招待メールを受け取った共同創業者がうっかり添付をクリックしてしまい、それがきっかけで社内のITシステムとメールシステムが犯人に乗っ取られてしまいました。
犯人は、それからせっせと多額の偽の請求書をそのヘッジファンドに送っては、共同創業者の名前を騙って多額の海外送金を承認し始めたのです。残念ながら、この共同創業者がその多額の海外送金に気づいたのは、事件が始まってから数週間後でした。気づいたときには時すでに遅し、多額の金が盗まれてしまったのです。
この事件を知った最大手の顧客が取引を中止、結局この事件が始まってから2ヶ月あまりのうちにこの企業は倒産に至ってしまいました。ですので、やはりこのコロナ禍においてどのような手口のサイバー攻撃が具体的に行われているかを知ることは、被害を防ぐ上で非常に重要になります。
テレワーク時のセキュリティ課題
残念ながらテレワークをしている人々のサイバーセキュリティ意識は、全体的に決して高いとは言えません。「トレンドマイクロ」の調査によると、職場から支給されたパソコンを個人目的で絶対に使わないと言い切れる人は、世界でわずか2割しかいないのです。家族を含めた第三者に職場のデバイスを使わせている人は、28%もいます。仕事で指定されていないアプリに職場のデータをアップしている人も4割弱いました。
また、職場にいる時とは異なり、テレワークで使っているパソコンのソフトウェアのこまめなアップデートやセキュリティパッチの適用をする人が減っているため、テレワークで使っているITシステムは、サイバー攻撃に対して脆弱になっています。だからこそ、テレワークをしている人々に対するセキュリティ教育・研修が、非常に大事になってくるのです。
増大する内部犯行
では、内部犯行、内部脅威はどうでしょうか。
内部脅威とは、社員、元社員、業者が当該組織に関する知識、特に情報システムへのアクセス権限を悪用して何か悪さをしでかすことです。
これは偶発的に起こることもあり得ますが、会社に恨みを持った社員が機密情報を盗み取る、あるいはデータベースなどのITシステムを破壊・改ざんするというケースも考えられます。
内部脅威による情報流出は2021年も増加予定
実はこのコロナ禍において、昨年から内部脅威による情報流出がとても増えてきています。2021年も、内部脅威による情報流出はさらに増えるものとみられています。それはなぜでしょうか。
コロナ禍で景気が後退し、解雇や給与カットされる社員が不満を抱き、今のうちに情報を抜き出して転職を有利に進めようと考える人も残念ながらいるからです。また、オフィスでの勤務と異なり、上司や同僚の目が行き届かず、営業秘密の管理が難しくなっているのも内部脅威の高まりと関連しているものと考えられます。
コロナ禍の内部脅威の事例
コロナ禍における内部脅威の実例についてお話ししましょう。去年の3月は、ちょうど世界的にこの新型コロナウイルスの感染拡大が懸念され始めた時期であり、マスクや医療用の手袋・ガウンの需要が高まりました。個人用防護具が一番必要とされているときに、医療機器の梱包企業が内部脅威に晒されてしまったのです。
解雇された副社長が恨みに思い、解雇される前にこっそりと偽アカウントを作っていました。そして解雇後に偽アカウントを使って、個人用防護具の発送を司っているデータベースに侵入、データベース内の情報を削除するなど、めちゃくちゃにしてしまったのです。結局、個人用防護具の発送に大きな遅れを発生させてしまいました。
この事件からもわかるように、内部脅威が高まっている今、アカウントやアクセス権限の管理が、今まで以上に大切になっています。
2021年3月のマイクロソフトの調査結果
もう一つこのコロナ禍において気をつけなければいけないのが、ストレスです。ストレスが高まれば高まるほど、残念ながら人はうっかりミスを犯しやすくなってしまうからです。
今年の3月に発表されたマイクロソフトの調査結果によりますと、日本と海外を比べた場合、海外より日本の方が孤立や疲労、ストレスをより感じやすくなっていることがわかりました。サイバーセキュリティ上のうっかりミスを防ぐ上でも、懸念すべきことです。
また、世界でも日本でも、およそ4割の人々がこの1年以内の転職を考えています。転職を考えている人々が次の仕事を有利に進めるために情報を持ち出そうとしても、それをすぐに検知できるようにするためには、サイバーセキュリティ対策が取られていなければ不可能です。
北朝鮮によりアストラゼネカへの攻撃手口
実際、転職を考えている人々を狙ったサイバー攻撃が増えてきました。例えば、アストラゼネカを狙って、なんと北朝鮮とみられるハッカー集団が、採用担当者を装い、リンクトインやワッツアップなどで偽の求人情報を送っていたのです。幸い、このサイバー攻撃は失敗したとみられています。
しかし、このように偽の求人情報をソーシャルメディアで送りつけ、添付ファイルやリンクをクリックさせて、相手のITシステムを感染させてしまうという手口は、転職者が増えている中、これからも使われるものと思われます。十分注意が必要です。
日本人に対するLinkdIn経由のスパイ活動
残念ながら、日本人技術者に対しても、3年前にLinkedInを経由して中国企業が接触し、営業秘密の提供を求める事件がありました。日本人技術者は、営業秘密を提供し、その後懲戒解雇され、不正競争防止法違反で在宅起訴されています。
ソーシャルメディアを使って求職をしている人々や人的ネットワークを広げようとしている人々を狙ったサイバー攻撃もこのように増えてきています。企業やソーシャルメディアの利用者におかれましては、注意をなさってください。
身代金要求型ウイルス
身代金要求型ウイルスあるいはランサムウェアとは、大事なデータや業務継続そのものを人質に取って、身代金を要求する非常に卑劣なサイバー攻撃です。特に最近増えているのが、二重の脅迫型と呼ばれる手口です。今年の第1四半期の段階で、二重の脅迫型は77%を攻撃全体で占めるまでになってきています。
これは、データを暗号化する前に相手のシステムの中からデータを盗みとり、その一部を証拠としてオンライン上に流出させます。自分たちの脅迫がはったりではないということを被害者に見せつけた後に、身代金をいついつまでに支払わなければ残りのデータも漏洩させるぞと脅しつけます。
身代金要求型ウイルス攻撃では、なりすましメールだけでなく、リモートデスクトップやVPNといったテレワーク下において利用が増えているものの脆弱性を突いた手口が増えてきています。例えば、去年の11月に身代金要求型ウイルスによる攻撃を受けたカプコンも、VPNの脆弱性を突いてネットワークの中に侵入されました。
米コロニアル・パイプラインへの攻撃
5月に発生したコロニアル・パイプラインへの身代金要求型ウイルス攻撃事件は、一犯罪グループであっても、さまざまな業種に波及するだけの大打撃を経済活動や国民生活に与えうるということを示しました。たとえ国家によるサイバー攻撃でなくても、経済安全保障にダメージを与える事件を起こせるのです。
コロニアル・パイプライン事件後、アメリカン航空は、給油のための一部の便の経路を変更せざるを得なくなりました。アメリカのガソリンスタンドも一時期は1800箇所以上が在庫切れになり、ガソリンを入手しようとした人々による暴力沙汰も起きています。
日本企業にとっても対岸の火事ではない
このコロニアル・パイプラインへのサイバー攻撃は、日本企業にとって対岸の火事ではありません。今回、攻撃を行なったのは、ロシア語圏で活動している犯罪グループ「ダークサイド」と言われています。ダークサイドは、今年、東芝テックの複数の欧州拠点に攻撃しています。
去年の10月以降、複数の日本企業の海外拠点が、二重の脅迫型による身代金要求型ウイルス攻撃の被害に遭っているのには、二つの理由が考えられます。一つは、ビジネスのグローバル化です。少子高齢化の中、日本企業は海外投資を重視し、海外企業の買収を進めています。海外拠点におけるIT資産が膨張し、より複雑化しており、サイバーセキュリティ対策の一元管理が難しくなってきています。
そのため、IPAの調査によると、海外拠点のサイバーセキュリティ対策を把握し、指示を出せている日本企業の割合が、欧米の企業に比べると低くなっているのです。
また、二つ目の理由としては、コロナ禍の急速なDX化が進んでいるにもかかわらず、残念ながらサイバーセキュリティ対策が追いついていないことです。防御の隙を突いたサイバー攻撃が増えている大きな要因となっています。
日本の平均支払いは1億円以上
去年の11月に、アメリカのサイバーセキュリティ企業クラウドストライクが、国別の身代金要求型ウイルス被害に関する非常に興味深い統計値を出しました。2019年から2020年にかけて日本企業のなんと半数以上の52%が被害に遭っていました。しかも、被害者の32%が身代金を支払っていたのです。
日本の被害企業の身代金支払い平均額は、世界の平均額よりも若干高めの117万ドルとなっていました。それだけ、日本でも被害が拡大しているのです。
身代金支払いの問題点
では、身代金支払いの問題点とはなんでしょうか。身代金を払ってしまうと、それが今後のサイバー攻撃の資金源となってしまうため、司法当局は支払わないように求めています。昨年12月に経済産業省が経営層向けに出した文書を見ても、身代金を払えば、テロ等の犯罪組織に対する資金提供にあるとみなされ、制裁が課される可能性があるとして注意を促しています。
現実、身代金要求型ウイルス攻撃を受けた場合、ほとんどの企業が防げていないのが現状です。イギリスのセキュリティ企業「ソフォス」によると、攻撃を受けた場合、データの暗号化を阻止できる率は、アメリカで25%、イギリスで22%、そして日本に至っては5%となっています。つまり、日本の場合、身代金要求型ウイルスの攻撃が20回遭ったうち、わずか1回しか被害を防げていないのです。
しかも、藁にもすがる思いで身代金を払ったとしても、データを復旧できるとは限りません。身代金を払って全データを復旧できた企業は、なんと全体の8%しかありません。
身代金を払っても、ITシステムの復旧、買い替え、原因究明のための調査費用にお金がかかってしまいますので、身代金を払ったほうが払わない場合よりも、最終的にコストが倍増してしまうというデータもあります。
今後の問題
では、こうしたサイバー脅威にどのようにして立ち向かっていけばよいのでしょうか。
コロナ禍において、今しばらくテレワークを続けていかなければならない以上、そしてデジタル化の波が今まで以上に加速している以上、サイバーセキュリティ対策の見直しと強化は不可欠です。これだけITがビジネスに不可欠なインフラになっているのですから、経営層が指揮をとってサイバーセキュリティ強化を進めていかなければなりません。
内部犯行がコロナ禍で増えている今、アクセス権限やアカウントの管理の厳格化も今まで以上に求められます。
また、身代金要求型ウイルスによって、コロニアル・パイプライン事件のように非常に重大な被害が国全体、様々な業種に及びうることも考えますと、狙われがちな日本企業の海外拠点のサイバーセキュリティ対策を重点的に強化する必要があります。脆弱性対策の推進、データのこまめなバックアップによる復旧の迅速化が肝要です。
NTTセキュリティの2019年時点の調査によると、サイバー攻撃の被害に遭った場合の対応要領を事前に作っている組織は、世界全体で52%しかありません。しかし、これでは迅速な業務復旧は不可能です。コロニアル・パイプラインは、身代金要求型ウイルス攻撃被害に遭った場合にどうするかの計画を立てていませんでした。是非、計画を経営層と一緒に作っておくことをお勧めします。
新型コロナウイルスの対策と共通点
今回、「コロナ時代のサイバーセキュリティ」と題してお話ししましたのは、新型コロナ対策とサイバーセキュリティ対策との間にいくつかの共通点があると思うからです。新型コロナウイルスも、コンピュータウイルスも、目に見えないやっかいな存在です。しばらく私たちの前から消えることはないでしょう。
私たちがマスクを身につけ、毎日手洗いうがいをするのと同様に、コンピュータウイルスに感染しないための日々の対策は地味ですが、非常に大事です。
しかし、残念ながら、100%感染を防止できる対策はありません。感染防止対策を取りつつ、感染をいち早く検知する仕組みや感染拡大を封じ込める対策も必要です。そのためには、経営層や国のトップがリーダーシップを取り、ガバナンスを効かせ、危機管理体制・対応要領を作っておくことが不可欠です。
専門家の知見や技術力もウイルスとの闘いで大事ですが、それだけでは不十分です。こうした国全体、世界全体の大きな問題に対抗していくためには、国民一人一人の意識を高め、協力してもらわなければ、アリの一穴になってしまいかねません。
ゼロトラストの推進
最近、ゼロトラストという言葉を皆様、お耳にすることが増えてきたのではないでしょうか。全てが信頼できないとの前提に立ち、常に確認を求めるこのコンセプトは、10年前に生まれました。
テレワーク時代、社内環境は安全との神話は崩壊し、社内・社外ネットワークの境界が曖昧になっている今、多要素認証の導入や、海外拠点のセキュリティの洗い直し、VPNやリモートデスクトップの脆弱性のチェックなど、重点的に見直していく必要があります。
コロナ禍におけるNTTのCISOの活動
NTTの横浜信一CISOは、コロナ禍においていくつかの取り組みをしています。定期的に日本語と英語でニュースレターを全社員に対して発信し、最新のサイバー攻撃の傾向ととるべき対策について専門用語を省いてわかりやすく解説しています。夏季休暇など長期の休暇前には、どうしたら手口が考えられるかについても発信をしています。
また、オンラインで定期的に勉強会を行い、どのようなサイバー攻撃の手口が最近増えているのか、どのような対策をとるべきか、最近どのような資格をどのように勉強して取ったかについて、互いに学ぶ場を設けています。
サイバー攻撃の傾向や対策については、『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社)や雑誌などへの寄稿でも発信しております。是非こちらも参考にしていただければと思います。
この1年以上にわたって、皆様はコロナ禍において非常につらい、ストレスの溜まる日々を送っていらっしゃったと思います。しかし、先ほども申し上げましたとおり、新型コロナ対策とサイバーセキュリティ対策の間にはいくつかの重要な共通点があります。目に見えないやっかいな敵ではありますが、対策の取りようがまったくないわけではありません。
皆様一人一人がこの問題に関心を持っていただき、コロナ同様、感染の拡大防止に取り組み、危機対応要領を作成していただくことが、サイバーセキュリティ問題解決にとって大きな力となります。
是非、ともに戦っていきましょう。ご静聴ありがとうございました。