SouthPlume                                               情報セキュリティの選りすぐりの技術と信頼を届けます

                                   

SIPSセキュリティレポート 2022年12月22日号

***************************************************************
  2022年に発生したサイバー攻撃と2023年の予測
***************************************************************
2022年に発生したサイバー攻撃を思い起こして、何を思い出すだろうか?
人間の記憶とは薄れゆくもので、今年何があったかと聞かれても年初のサイバー攻撃は思い出せない。
言われてみて、「あーそんなこともあったなぁ」という程度ではないだろうか?
そこで本日は、反省の意味も込めて今年のサイバー攻撃を振り返ってみることにする。

▼1月 企業DBを狙うサイバー攻撃急増
年が明けて公表されたクレジットカード決済基盤を提供するメタップスペイメントが、2021年から不正ア
クセスを受けて46万件のクレジットカード情報が流出したと公表した。またトヨタ系関連会社のデンソー
の海外拠点がランサムウェアの被害を受けた。

SIPSで確認されたサイバー脅威情報では、企業名を特定した企業DB情報の販売に関する書き込み
が1月だけで90件を超えた。 残念なことにDB流出被害を受けた企業が、それを把握できていない
ため、その後2次被害が爆発する結果となる。

▼2月 Emotetの感染被害拡大とロシアのウクライナ侵攻によるサイバー攻撃の激増
Emotetが一気に感染拡大して毎日Emotet感染のニュースが確認され日本中で被害が発生した。
また2月24日にロシアがウクライナに武力侵攻を開始し、同時にサイバー攻撃を加えたハイブリット戦争
が始まり世界中でサイバー攻撃が確認され、日本も例外ではなかった。
2月27日トヨタ自動車のサプライチェーンである小島プレス工業がランサムウェアの攻撃を受けて、システ
ムが停止し、その後トヨタ自動車の14の工場ラインが止まり大きなニュースとなった。

▼3月~4月 爆発的Emotet感染とランサムウェア攻撃の激増
2月に感染が拡大し始めたEmotetの被害は3月に爆発的に広がった。一方でランサムウェア攻撃も
急増しデンソー、森永製菓、ブリジストンなどの大手もその被害に遭った。
Emotetの分析も進み、感染するとボットネットに接続され、プログラムのダウンローダー機能を利用して
ランサムウェアやDDoS攻撃に利用されることが分かった。

▼5月~6月 Emotet感染は減少傾向もサイバー攻撃被害数は増加
Emotetは春先の勢いは少し弱まってきたように思えたが、サイバー攻撃による被害数は今年最高水準
の被害数を確認した。 特にニフクラ、富士通クラウドといったクラウド事業者が攻撃を受け、結果として
そこを利用しているユーザに被害が発生した。また行政のWeb管理をしている共立やサッカー関連サイト
を運営するスポーツマネジメント等が不正アクセスを受ける事で、複数のサイトに大きな影響が出た。
しかしこれらのサイバー攻撃を受けたサーバにはマルウェアが潜伏していたことが確認されていて、春先まで
感染爆発したEmotetが何らかの形で影響を残していた可能性が高い。

▼7~8月 止まらぬランサムウェア被害
名古屋商工会議所、サンドラック、バンダイナムコ、日経アジア、SOMPO海外子会社、そして千葉県
南房総市教育委員会などでランサムウェアによる被害が発生。
南房総市教育委員会の被害の侵入経路としては、VPN装置の管理者アカウントのIDとパスワードを
使って侵入されたと発表されているが、何故管理者権限のID/パスワードが分かったのだろうか?

中国ブラックマーケットでは7月から日本のサーバ、VPNなどの管理者権限を販売するという書き込みが
急増していた。SIPSの調査ではハッキングによる流出のほかに、Information Stealerと呼ばれる情報
窃取マルウェアによる情報流出を確認したが、その数は想像を超える数が存在していた。
日本の生活インフラを支える企業を調査した結果、1社あたり500件から数千件のログイン情報が流出
していることが分かった。

▼9月~10月 ロシア系ハッキンググループ「KillNet」が日本に対して宣戦布告
9月6日、親ロシア派のハッキンググループKillNetが、自らのチャネルを通じて日本政府に対するサイバー
攻撃を宣戦布告した。その後、電子政府、総務省、JCB、mixi、ニコニコ動画、東京メトロ、大阪メトロ
など続々とDDoS攻撃を受けてサイトに影響が出た。
ランサムウェア攻撃も減らず、明治の海外子会社や日本盛、ダイナム、那覇市教育委員会、ならコープ
他が被害を受けた。

一方、サイバー闇市場では企業DB情報とクレジットカード情報の売買書き込みが急増し、フィッシング
ソースコードも様々な企業ブランドで販売数が急増していた。
年末に向けた金融機関への攻撃【金融資産の不正利用増加】が予測できる内容であった。

▼11月~12月 学校や病院さらに銀行など生活インフラとなる企業が狙われる
コロナ禍で医療関連機関への攻撃は増加していたが、日本でも次々と病院や医療関連機関、同企業
が狙われ被害を受けた。また公共機関や大学などの教育機関も狙われ大量の情報が流出している。
政府は、年末までに重要インフラなどに対するサイバー攻撃への防衛強化策を取り込む検討に入って
いるが、それを嘲笑うかのようにインフラ企業、施設が攻撃されていった。

サイバー闇市場の動きも加速、特に金融関連情報を販売する書き込みが急増してきた。
またそれに合わせて各種マネーロンダリングの手法や物品の不正購入時に受取先となる受け子住所、
各種換金手法など闇ビジネスとなる情報も急増している。

警視庁によると、ネット銀行の不正送金が今年上半期(1~6月)に145件、約3億2100万円であった
のに対して、8月~9月15日の1か月半で254件、約3億8200万円と急増していると注意喚起を発表
している。

【総括】
一年を通してみると様々なセキュリティ事故やインシデントを見ると流れがある。
年初に感染拡大したEmotetは、Information Stealerの一種であり、拡散を広げて感染PCをBot
ネットに接続し感染PCからBotネット経由で情報を盗み取る。
収集されたログイン情報は様々だが、権限が高いアカウントであればサーバへの侵入も可能となる。
侵入出来れば、情報を窃取することも、ランサムウェア攻撃をすることも、それほど難しいことではない。
これらを総合すると、今年の前半はマルウェアで情報収集を行い、夏以降にその収集した情報を使って
攻撃を開始していると考えれば年末に向けてサイバー攻撃、サイバー犯罪が急増している理由が分かる。

もちろんInformation StealerはEmotetだけではない。常時数十種類が確認されていて、日本にも
侵入してきている。 これら情報窃取マルウェアはロシア、中国、北朝鮮のハッキンググループが利用して
いることが分かっていて、常に我々の情報を監視して収集しているのである。
しかも、このマルウェアは巧妙な機能があり、ほとんどが検出したときには別の場所に分身を潜伏させて
次のタイミングを待っているのである。つまりセキュリティソフトでマルウェアを検出して安心していた企業は
密かに潜伏していた分身の次の行動を把握出来ず、次々と情報を流出させた可能性がある。

間もなく2022年も終ろうとしているが、年末年始は1年で最もサイバー攻撃が多い時期である。
今年のサイバー攻撃を振り返り来年はどのようなサイバー攻撃が起きるのか・・・?
今年の分析から考え以下のような攻撃やイシューを想定してみた。

【2023年に推測されるサイバー攻撃】
▼マルウェアを使った攻撃の進化と終わらないランサムウェア攻撃
年々進化を続けるマルウェア。近年はInformation Stealerのように感染しても直接影響がない形で
感染させて、次々と情報を盗み取るマルウェアが増えている。
このようなマルウェアは一層進化を続け、機能向上と共に感染手法も巧妙化すると考えられる。
結果、情報流出やランサムウェア攻撃などは減少せず増加すると考えられる。

▼フィッシングの巧妙化
フィッシング攻撃に使うメール文には、違和感のある日本語が存在することが多かったが、この文章の
作成にAI技術を利用して、違和感のない文章を作りメールが送信されるようになる。
相手を引き込む手口もより巧妙になるためフィッシングによる情報流出も減ることはないと考えられる。

▼クラウドサービスと生活インフラサービスを狙った攻撃の増加
一度に複数社の情報窃取が可能なクラウドサービスへの攻撃は、ターゲットにされる可能性が高い。
今までのセキュリティ体制で防御していたものを回避するハッキング技術が、闇市場で流通し始めている。
日本企業の技術情報はサイバー空間で高額取引されるため、日本のクラウドはターゲットにされる。
また不安定な世界情勢の中、敵対国にサイバー攻撃で影響を与えるには、生活インフラを狙うのが有効。
インフラ関連企業の情報収集をしている動向も確認されていて、攻撃がいつ勃発しても不思議ではない。

▼金融機関への攻撃増加
金融機関は直接金銭資産が存在するため、金銭を得るには最も手っ取り早い。近年は不正送金など
実行する際のマネーロンダリング手法も多種多様になっていて、攻撃は益々増加すると考えられる。
マルウェアやフィッシングで得た金融情報は、ネット銀行、クレジットカード、証券口座、暗号資産などの
不正利用に使われ、今年以上の相当な金額が不正に流出すると想定される。

▼個人特定情報を利用したなりすまし被害
サイバー闇市場に流出している日本人の個人特定情報はどんどん蓄積されていて高値で売買されている。
免許証やパスポート、マイナンバーなどの偽造により、なりすましによる被害が拡大することが考えられる。
偽造身分証を使った企業への身分詐称採用による侵入と諜報活動も増加すると考えられる。

過去最高のサイバー攻撃被害を起こしている今年より、来年はもっと攻撃、被害が増えるだろう。
しかし、この被害を防ぐ方法もあるが、日本の企業はそれを実行できるだろうか・・・?
是非今一度、何が正しい対策なのかを考え、サイバー攻撃被害のない新年を迎えてほしい。

【謝辞】
本年の【SIPSセキュリティレポート】は本日で最後です。
今年も1年間ご覧いただきありがとうございました。
来年も参考になる情報をお伝えするべく努めてまいります。
皆さん、良い年をお迎えください。
***************************************************************
<参考URL>
INTERNET Watch:2022/12/2
4カ月鳴りを潜めていた凶悪なマルウェア「Emotet」が11月に活動を再開していた
https://internet.watch.impress.co.jp/docs/column/dlis/1459359.html

JIJI.COM:2022/12/19
中国の技術獲得に懸念 サイバー攻撃にも警鐘―公安庁
https://www.jiji.com/jc/article?k=2022121900730&g=pol

MONEY TIMES:2022/12/18
「ネット銀行泥棒」か゛横行……ハ゜スワート゛も見破る。大切な預金を守るためには
https://moneytimes.jp/archives/186062

The Hacker News:2022/12/15(英文)
Researchers Uncover MirrorFace Cyber Attacks Targeting Japanese Political Entities
https://thehackernews.com/2022/12/researchers-uncover-mirrorface-cyber.html


                                  Home     製品情報     サービス     会社情報     お問い合せ

Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved