NTTデータによる2021年のサイバーセキュリティ振り返りと2022年の予測
ランサムウェア被害の継続とフィッシングのas-a-Serviceが深刻に

　株式会社NTTデータは、2021年のサイバー犯罪と2022年の予測に関して同社 エグゼクティブセキュリティアナリスト 新井悠氏による説明を報道関係者向けに行った。

　2021年はランサムウェア犯行グループによる被害がグローバルで拡大した1年だったが、その傾向は2022年も継続し、さらにフィッシング詐欺がas-a-Service化した「PHaaS」が深刻化することが予測されるという。

エグゼクティブセキュリティアナリスト 新井悠氏

2021年に新しく登場したトレンド“パブリックアトリビューション”

　新井氏ははじめに、2021年のサイバー犯罪の振り返りとして、以下の3つを重要なトピックとして挙げている。

・止まないランサムウェア犯行グループによる法人被害
・オリンピック関連の詐欺サイトの多数出現
・「パブリックアトリビューション」の出現

　このうち、2021年ならではのトピックがオリンピック関連詐欺サイトの出現だろう。今夏の東京オリンピック開催にあたっては、数年前から多くのITベンダーがサイバー攻撃に対する準備を行ってきたこともあり、大会運営に影響を及ぼすようなサイバー攻撃は期間中には確認されなかったと言われている。しかし大会関係者を偽装した詐欺サイトも多く出現し、中には「競技の動画を見られる」と喧伝し、クレジットカードの情報を入力させ、その情報を盗みとるサイトもあったという。

　また、2021年に登場した新たなトレンドである「パブリックアトリビューション（public attribution）」にも注目したい。もともとアトリビューションとは「帰属」「特定」といった意味を持つが、セキュリティのコンテキストでは国家や警察が攻撃の手口や実行者、あるいは背後にいる国家の存在をあえて“特定”し、公表する取り組みをあらわしている。

　これまでは「こちら（被害者）がどんな情報を把握しているか、攻撃側に知らせないために関係者だけで情報を共有し、予防する」（新井氏）というアプローチが一般的だったが、今年になってからは、「“攻撃側の情報をわれわれはこれだけ有している”とアピールし、手口を明らかにすることで、攻撃の矛先を弱める」（新井氏）という手法が増えてきたという。

　新井氏はパブリックアトリビューションの一例として、2021年4月にJAXAへのサイバー攻撃に関与したとして警視庁が中国籍の男性を書類送検し、その後に警察庁長官が「中国人民解放軍の舞台が関与した可能性が高い」と公表した事件を挙げている。被疑者の情報や攻撃の手口などについても詳しく公開しており、「いままでとは異なる新たなセキュリティトレンドとして注目したい」と語る。

活性化するランサムウェア犯行グループの手口

　新たなトレンドが出現する一方で、やはり2021年でもっとも活発だったサイバー攻撃を挙げるならランサムウェアになるだろう。国内でも被害が多発しており、例えば10月に発生した徳島県つるぎ町立半田病院におけるランサムウェア攻撃などは典型的な事例だといえる。同病院はランサムウェア攻撃を受けて電子カルテシステムが暗号化されてしまったが、身代金の要求に対し「攻撃側と交渉はしない」として現在もシステムの再建を図っている最中だ。

　新井氏はランサムウェア犯行グループの実態は、犯行グループの中核を担う「ランサムウェアの開発および暴露サイト運用グループ」と、企業などへの攻撃に特化した「アフィリエイト」に分かれているとし、それぞれの役割と攻撃手法について以下のように説明する。

　まず、犯罪の中核となるランサムウェア開発グループは、アンダーグラウンドの掲示板などに攻撃を実行するパートナーを募集する旨を投稿する。その書き込みを見た、さまざまな攻撃スキル（企業ネットワークへの侵入スキル、ボットネットな広域ネットワークスキャン手段）を持つアフィリエイトたちが犯行グループに参加し、特殊詐欺グループのような一団を結成する。彼らはそれぞれのスキルを活用してターゲットとなる企業を攻撃し、ファイルの窃取や暗号化を図り、暗号化の身代金および窃取したファイルの削除料を企業に対して要求する。

ランサムウェア犯行グループは、ランサムウェアの開発や暴露サイトを運用する中核チームと、専門スキルを備えた攻撃特化のアフィリエイトに大きく分かれる。攻撃ごとにアンダーグラウンドのサイトで知り合い、互いの身元をよく知らずにチームを組み、攻撃後に解散するパターンも多い

　最近ではアフィリエイト（攻撃役）に向けたマニュアルの整備も充実しており、例えば、

・企業を攻撃して入手したID/パスワードを再利用して新たな攻撃の突破口にする
・「Admin」「baciup」といったアカウントを使って500Gバイト以上の容量のファイル/フォルダを探し出し、暗号化する

といった具体的な手口が詳細に書かれているという。

ランサムウェア攻撃のマニュアル指示その1。いったん獲得したIDとパスワードの再利用を推奨する

ランサムウェアのマニュアル指示その2。確実に金銭を獲得するために、まずバックアップファイルを探し出して暗号化することを指示

　「最近ではランサムウェアで重要なファイルを暗号化されたとしても、バックアップからリストアすることで身代金を払わなくて済むケースもある。そこで“企業から確実に身代金を獲得するなら、まずバックアップを狙って暗号化せよ”という指示が攻撃マニュアルに記載されることも増えてきた」（新井氏）。

2022年はPHaaS（Phishing-as-a-Service）に注意

　こうした2021年のサイバー攻撃の傾向から、2022年はどんな1年になると予測されるのか。新井氏は2022年の予測として以下の4つを挙げている。

・Phishing-as-a-Service（PHaaS）の本格化による法人被害の深刻化
・個人情報保護法の改正（2022年4月施行）を受けたガバナンス体制の強化
・経済安全保障を前提とした、ソフトウェア分野でのサプライチェーン網の整備の本格化
・ランサムウェア被害の継続

　この中でもっとも注目すべきトレンドは、PHaaSの本格化だと新井氏は指摘する。フィッシングというキーワードが登場してからずいぶん時間が経っているが、2022年のフィッシングがこれまでと大きく異なるのは、企業を標的にした“サブスク”契約の詐欺行為が増えてくる可能性が高い点だ。

　新井氏はPHaaSの詳細を説明する前に「フィッシングを実行するのは、そんなに簡単なことではない」という点をあらためて強調する。フィッシングを成功させるためには、攻撃者はさまざまなステップを踏む必要がある。まず本物に似せたドメインを調達し、そのドメイン名で本物に似せたサイトを作り、IDとパスワードを盗めるようにする必要があるが、この作業がすでに簡単ではない。また、本物そっくりのサイトを作れたとしても、次はメールを不特定多数に送信し、それにだまされたユーザーがクリックしてサイトに誘導されるのを待たなければならない。もちろん、いったんユーザーをフィッシングサイトに誘導してしまえば、情報（ID/パスワード）を盗みだすのは簡単だが、そこに至るまでには技術的にも難易度が高く、時間を要するステップを超えなくてはならない。

　そこでアンダーグラウンドの世界では、こうしたフィッシングという詐欺行為をより簡単に実行できるようにするための周辺ビジネスが生まれてきた。前述のフィッシングのステップでいえば「本物に似せたサイトを作り、IDとパスワードを盗める状態にする」「メールを不特定多数に送信して、ユーザーがクリックし、サイトに誘導されるのを待つ」といったあたりの難易度が高い。そうしたニーズに対し、

・フィッシングサイトを代わりに作成する請負業者
・フィッシングサイトの蔵置先サーバーを提供する業者
・フィッシングメールを代理で送信する代行業者
・知識があまりなくてもフィッシングサイトを作成できるツールキット（フィッシングキット）

といった周辺ビジネスがすでに数多く存在している。

　新井氏によれば、こうしたアンダーグラウンドに潜む業者は、身元を隠しやすいメッセンジャーアプリ「Telegram」を使って攻撃者と連絡を取りあうことが多いという。ツールや請負の価格も比較的安価に設定されており、5ドル程度で入手可能なフィッシングキットも存在する。ステップを1つ省略できるだけでもフィッシングの難易度が大幅に下がるため、こうしたビジネスはアンダーグラウンドでも活況を呈し続けている。

アンダーグラウンドのサイトにはフィッシング代行業者の広告も多い。これはフィッシングメール10万通につき10ドルで請け負う業者の広告。支払いはビットコイン、連絡はTelegramというのもよく見かけるパターン

フィッシングキットを使って作成された本物そっくりのニセAppleサイトの例。ご丁寧に多言語対応までしっかり設定されている

　そして2022年に本格化するであろうPHaaSは、フィッシングのエコシステムを一段と拡大する存在として今後の注意が必要とされている。PHaaSはフィッシング詐欺でこれまで主流だった個人をターゲットにした犯罪（クレジットカード情報の詐取など）から、企業システムに侵入するためのID/パスワードの入手へとターゲットを変えてきている。

　さらに“as-a-Service”といわれる通り、PHaaSではフィッシングに必要なプロセス - テンプレート、メールの代理送信、フィッシングサイトの代理構築（ホスティング含む）、認証情報、検出回避保証などをサブスクリプション形式（一定期間の契約）で攻撃者に提供する。つまりフィッシングに必要なステップをほぼ労力をかけることなく、サブスク形式で入手することが可能になっている。

フィッシング詐欺に求められるステップをas-a-Serviceで提供するビジネスがPHaaS。フィッシング攻撃の技術的難易度を大幅に下げ、専門スキルがなくても攻撃できる土壌を拡大する存在として注意が必要

フィッシング攻撃のアプローチを比較すると、サブスク形式のPHaaSがもっとも攻撃のハードルを下げられることがわかる

　PHaaS事業者の中には、別メニューとして攻撃者のニーズにあわせたさまざまなテンプレートをショッピングサイトのようなUIで提供しているところもあり、攻撃者はOutlookやOneDrive、Dropboxなど企業がよく使うクラウドサービスに似せたテンプレートを80～100ドルくらいで容易に購入できる。

あるPHaaSサイトが別メニューで販売するテンプレート集の一例。これはOutlookに似せた詐欺テンプレートが含まれていて80ドル。一般的なECサイトと同じショッピングカートのUIで、入手しやすい価格帯であることが、攻撃への障壁をいっそう下げていく

　また、より“VIP”向けのサービスとして、通常のメニューよりも多い件数のID/パスワードを提供しているところもあり、例えば「1週間あたり150～200件のID/パスワードを提供可能、価格は1カ月（4週間）あたり2000ドルをビットコインで」という条件で請け負う業者も存在する。このように、PHaaSビジネスの活性化とともに、その周辺で新たなフィッシングのエコシステムが形成されつつある。

　「入手したID/パスワードを使って自ら攻撃をかけるほかに、別の犯罪者集団やランサムウェアグループに転売するというビジネスもすでに始まっている。ある企業のOffice 365（現Microsoft 365）ユーザーのID/パスワードリストを最大5万ドルで買い取るという案件をアンダーグラウンドの掲示板で見かけることもある」（新井氏）。

フィッシング詐欺とランサムウェア攻撃はエコシステムを形成しやすい。手に入れたIDやパスワードを自分で悪用するだけでなく、ランサムウェアグループに転売して利益を得る者もいる

　PHaaSのように企業をターゲットとするフィッシング詐欺が増えてきた背景として、新井氏はコロナ禍におけるリモートワークの急増を挙げている。従業員が自宅や出先などから社内システムに接続する際はVPN経由でログインするのが一般的だったが、最近ではMicrosoft 365などのクラウドサービスを活用するケースも多い。

　攻撃者が狙うのはこうしたVPNやクラウドサービスの認証に必要なID/パスワードで、従業員のリモート化が進み、エンドポイントが増えたことで、攻撃のチャンスも同時に増えることとなった。そして企業アカウントが詐取されてしまうと、個人ユーザーをターゲットにした場合よりも被害の規模も金額も芋づる式に拡大するケースが少なくない。

　新井氏は例として、企業においてMicrosoft 365のフィッシングが成功すると、次のような被害の連鎖が予想されるとしている。

・メールの盗み見→情報漏えい
・クラウドストレージに保存されているファイルの窃取→情報漏えい
・アカウントの持ち主になりすましたメールの送信→被害拡大
・アカウントの持ち主になりすましたTeamsなどのチャットツールでの発言→さらなる被害拡大
・VPN認証に再利用して標的企業の内部に侵入→情報漏えいやランサムウェア攻撃の誘発

国内におけるクラウドサービス攻撃の傾向

　残念ながら、クラウドサービスをターゲットにした攻撃は全世界規模で急増中で、日本においても例外ではない。新井氏は2021年に国内で起こったクラウドサービスの乗っ取り被害の実例として以下を挙げている。

・2021年6月、高崎経済大学の教員のクラウドサービスのアカウントに不正アクセス、約6000件の迷惑メールが送信
・2021年6月、国立研究所の職員のクラウドサービスのアカウントに不正アクセス、職員のメール内容が漏えいし、フィッシングメールが送信
・2021年7月、愛知県がんセンターにおいて同センターの医師が利用するクラウドサービスのアカウントに不正アクセス、患者の個人情報などが流出した可能性
・2021年8月、九州歯科大学の教員のクラウドサービスのアカウントに不正アクセス、約4万件のスパムメールが送信

　これらの攻撃の矛先となっているところは大学や医療機関が多いが、新井氏はその理由のひとつとして「情報セキュリティのルールが数年前からアップデートされていない状態で、多要素認証などに必要なスマートフォンなどを職場で使えず、IDとパスワードしか認証手段がない場合がある」と指摘する。

　医療機関や教育機関は機微な個人情報を日常的に扱うため、情報セキュリティやコンプライアンスに関するルールが厳格に定められており、スマートフォンなど私用デバイスを業務に利用することを禁じているところも多い。しかし、利用するサービスが変化しているにもかかわらず、それを運用するルールが旧態依然のままでは、そこには必ずセキュリティのギャップが生じる。そして攻撃者はそのギャップを見つけたら決して逃さない。

企業がとるべきフィッシング対策

　ここまで見てきたように、安価なツールキットや詐欺サイトの代理構築、PHaaSなど、攻撃の敷居が日に日に下がっていく現状にあって、企業はどのようなフィッシング対策を採ればいいのだろうか。

　新井氏は企業セキュリティの方向性として「これまでのように境界内を安全と考えるのではなく、ユーザーとデバイス単位で情報セキュリティを担保していくゼロトラストネットワーク」を採用していくアプローチを推奨している。

　その上で、従来型の電子メールフィルタや、受信メールに含まれるURLをいったん書き換えてサンドボックス内でURLを検証するディフェンス機能などの併用も有効だとしている。また、フィッシング対策の強化としては、多要素認証を採用し、ID/パスワードだけの認証を避けることも検討すべきとしている。多要素認証としては、

・知識認証 … パスワード、秘密の質問など
・所有認証 … 携帯電話、ICカードなど
・生体認証 … 指紋、静脈など

といった認証方法のうち、2つ以上の手段を組み合わせて行うことで、フィッシング対策の効果を大幅に高めることが可能になる。

フィッシング詐欺対策に有効だとされるのが多要素認証。少なくとも2つ以上の手段を組み合わせて使うことで、高い相乗効果が期待できる

　もうひとつ、非常にシンプルで古典的な手法ではあるが、社内システムのサーバーやソフトウェアに必ず脆弱性を修正したパッチを迅速に適用する重要性を新井氏は強調している。「企業の中にはメンテされてないサーバーが必ずある。最近の攻撃者はこういったサーバーを見つけ出し、古い欠陥（脆弱性）を突いて攻撃を仕掛けてくる。”社外に持ち出さないマシンだから修正プログラムを適用しなくても大丈夫”と思われがちだが、脆弱性を放置したままでは攻撃の踏み台になる可能性は高い。まずは入り口をふさぐどいう意識を持ってほしい」（新井氏）。

　ランサムウェアやPHaaSなど、2022年に向けてエコシステム化が進むサイバー攻撃のトレンドだが、新井氏は「攻撃者は必ずしも全員が洗練された手法の持ち主というわけではない」という。攻撃のトレンドを把握しながら、時代に適したアップデートを行い、従来かららのセキュリティの基本をひとつひとつ抑えていくことで、攻撃者にスキを与えないようにしていきたい。