最近の”サイバー攻撃の動向”に関する情報発信について思うこと
ここ最近、「サイバー攻撃被害が増加」といった報道や緊迫する国際情勢の動静を意識した情報発信が散見されます。JPCERT/CCにも各方面から「国内へのサイバー攻撃は増えていますか?」といった問い合わせをいただくことが増えてきました。
先日来、注意喚起等を行っているEmotetの感染被害急増など、特定の種類の攻撃被害は確かに増加していますが、これらの攻撃被害の増加の原因/背景について技術的に不正確な解説も見受けられ、正しく対策が行われない、または対策に必要な情報が適切に伝わらないことが危惧されます。今回は攻撃の「動向」というものをどのようにとらえ、社会全体で危機感を共有していくのか、JPCERT/CCの今の考え方を解説します。
攻撃の「増減」は立場によって見え方が異なる
①観測者による見え方の違い
一口に「サイバー攻撃」といっても、無差別にバラまかれるフィッシングメールやマルウェアに感染させるメールから、標的型サイバー攻撃、Webサイト改ざん、DDoS攻撃、侵入型ランサムウェア攻撃、など多種多様です。これらすべての種類の攻撃を単独の専門組織やセキュリティベンダー、ISPなどで捕捉することはできません。また、特定の種類の攻撃であっても、やはり単独の組織だけで観測することはできませんから、同じような観測・分析をする組織が集まって情報交換することで攻撃動向を捕捉しています。(例:サイバーセキュリティ協議会、定点観測友の会など)
②被害情報を受け取る側による違い
被害者以外の組織がサイバー攻撃被害の発生を知るきっかけとして、ベンダーなどが被害組織に提供するサービスを通じて観測したり、情報漏えいの届け出・報告を所管省庁等が受け取ったり、あるいは被害組織からのプレスリリースを通じて不特定多数の組織/人が被害事実を知ることが想定されます。ただし、攻撃の種類によって影響/被害の内容は異なりますので、プレスリリースの有無や所管省庁等への報告・届け出有無も変わってきます。そうすると、これらの情報を受け取る組織の立場によって、見えてくる「被害情報」も変わってきます。
逆に言えば、「被害情報」として広く知られにくい攻撃の動向について、その増減については“表面化”することが少ないと言えます。JPCERT/CCや他の専門組織では、こうした「広く知られにくい」が影響の大きい攻撃動向やその原因・対策について、日々注意喚起やレポート公表などを通じて、情報発信に取り組んでいます。
攻撃活動が変化する背景は複雑
前述の通り、サイバー攻撃の種類は多種多様であり、攻撃の実行者も多種多様です。それぞれの攻撃者の動機や活動を活発化させる要因も多種多様です。また、標的とする地域や業種も攻撃グループや攻撃の種類、攻撃対象とするシステム/製品の利用状況に応じてさまざまです。さらに、いくら攻撃者が攻撃しようと思い立ったとしても、悪用できる脆弱性の有無や対象機器の稼働状況などによって、あくまで「可能性」にとどまることもあれば、すでにPoC(Proof of Concept)が公表されるなどして、攻撃の「蓋然性」が高い状況になるケースなど、状況には濃淡があります。
したがって、攻撃の「増減」の背景や、あるいは今後の脅威動向の予想について1つか2つ程度の要因から導き出すことは拙速です。特に攻撃グループによる動向の変化というのは、中長期的な追跡が必要であり、短期的な変化だけから導き出せるものではありません。
攻撃の増減の背景を1つか2つの要因に求めることの弊害は、実際の対策にも影響します。例えば、直近で被害公表のあった組織が特定企業との取引を行っていたとして、「サプライチェーン上のリスク」として示されることが散見されます。 実際にはそのような“サプライチェーン”上のつながりとは別に、特定機器の脆弱性や管理不備を突いた攻撃活動であった場合、特定企業の取引先以外の組織に適切な対策情報が流れない恐れがあります。
また、特定の攻撃グループや、そのグループの活動背景にある国・地域といった情報が先行してしまうと、攻撃グループの特定を誤る可能性があります。どの攻撃グループがどの程度活動しているのか知ることで、どのような攻撃手法に警戒すればいいのか推測することができ、対策情報を伝えることが可能になりますが、被害現場における攻撃グループの特定や用いられた可能性の高い攻撃手法の特定を誤ってしまうと、今後の被害防止のための情報共有や注意喚起などに影響が出てしまうのです。
「正しく恐れる」こと
JPCERT/CCでは年間1万件~2万件あまりのインシデント相談やコーディネーション依頼に対応しています。図2は国際情勢が大きく動いた2022年2月前後のインシデント相談件数の推移を示したものです。増減の急激な変化は見られないとはいえ、例年より多い件数の相談やコーディネーション依頼をいただいています。この毎月数千件の中には、これまで繰り返し述べたとおり、さまざまな攻撃者、攻撃手法、対象組織/業種の攻撃被害が含まれています。
攻撃動向の背景や被害に至った原因は多種多様であり、1つや2つの理由で解き明かせるものではありませんが、かならずそれぞれの原因と背景があります。どうしても、「わかりやすい理由」が注目されがちですが、サイバー攻撃は攻撃者と被害者の2者間だけで発生するものではなく、ベンダーやISPなどインターネット空間上のさまざまな立場の関係者間における複数の要因も関係します。ややもすると、「わかりやすい理由」に埋もれてしまいそうな「複数の要因」を一つ一つ解きほぐし、これらにスポットライトを当て、再び同じような被害が出ないように関係者間で調整を進めています。
「常に多い」状態が続くサイバー攻撃に効果的に対処するには、限られた対策リソースの浪費を抑えるためにも、「どこに注目するか」がとても重要です。日々、継続してサイバー攻撃に対処していくには、短期的な対応だけでなく、中長期的に攻撃動向を捕捉・追跡し、脅威を正しく恐れ、常日頃から着実に対策を広めていくことが重要と考えています。
早期警戒グループ 佐々木 勇人