2023年のセキュリティトピックと事例
主な5つのトピック |
事例 |
公表日・参考資料 |
①内部不正 |
NTTビジネスソリューションズの元派遣社員が関与した情報漏えい事件 |
10月17日・ニュースリリース |
日本山村硝子の元社員による機密情報の持ち出し |
10月5日・お知らせ |
②重要インフラ事業者等のインシデント |
名古屋港統一ターミナルシステム(略称・NUTS)」のランサムウェア被害 |
7月5日・お知らせ |
全国銀行データ通信システム(全銀システム)のシステム障害 |
10月10日・プレスリリース |
③クラウドサービス等のインシデント |
「クラウドAZタワー」に対する、マルウェアを用いた不正アクセス |
6月8日・重要なお知らせ |
Booking.comの宿泊予約情報管理サービスへの不正アクセス |
6月1日(※)・重要なお知らせ |
④フィッシング |
BASEのECショップ管理者に対する不審メールと、ログイン情報の不正取得による購入者へのフィッシングメール |
1月10日・注意喚起 |
Sansanのユーザーに対する、なりすましメール・電話を用いたログインパスワードの窃取 |
3月30日・注意喚起 |
⑤脆弱性 |
内閣サイバーセキュリティセンター(NISC)、気象庁および気象研究所が利用するメール関連機器の脆弱性を狙ったサイバー攻撃 |
8月4日・NISC お知らせ、気象庁 報道発表資料 |
シスコシステムズ「Cisco IOS XE」の脆弱性 |
10月16日・セキュリティ アドバイザリ |
(※)ホテルグランヴィア大阪による公表日
内部不正による情報漏えいが多発
2023年を振り返って、piyokangoさんが考える国内の重大セキュリティトピックについてお聞かせください。
まず1つ目として、例年と比べて内部不正による情報漏えいの事案を見かける機会が本当に多い1年でした。ここでいう「内部」には業務委託先なども含まれます。
特に被害が大きかった事案としてあげられるのが、NTTビジネスソリューションズの元派遣社員が関与した情報漏えい事件です。10月に公表されたこの事件では、コールセンターシステムの運用保守業務を担う元派遣社員が、約900万件にも及ぶ顧客情報を不正に持ち出して第三者に流出させていたとされています。流出先が名簿業者であり、持ち出された情報は他社の営業活動などに利用されていたという報道 1 もあるなど、非常に深刻な内容であり、その影響も被害も甚大だといえます。
もう1つ、同じく10月に公表された内部不正に関する事案として、ガラスびん製造大手である日本山村硝子の元社員が、同社の機密情報を無断で社外に持ち出したというものがありました。持ち出された機密情報は、ガラスびんの軽量化に関する同社固有の製造技術に関する情報です。同社内では2022年6月の段階でこの件が発覚し、社内調査を実施した結果、2022年11月に当該の持ち出しを行った元社員を懲戒解雇処分しています。その後、この元社員は、2023年10月に不正競争防止法違反(営業秘密の領得)の容疑により兵庫県警に逮捕されました。
このように、内部の人間の関与によって企業の機密情報が持ち出されるという事案が目立ったのが2023年の大きな傾向ではないでしょうか。もちろん企業としては、機密情報の暗号化をはじめとして、情報を持ち出されないようさまざまなセキュリティ対策を実施していると思います。また転職・退職時には、機密情報を外部に持ち出さないといった誓約を交わすのが一般的でしょう。しかし、そうした誓約はあくまでも紙面上だけのやりとりに留まることが多く、性善説のうえで成り立っているといえます。そうした背景もあり、セキュリティ対策の穴を悪用した事案が多発した1年だった印象です。
社会的影響の大きい重要インフラにおけるインシデント
2つ目のトピックが、重要インフラ事業者やそれに類する事業者で発生したインシデントです。なかでも注目されたのが、7月に名古屋港で発生したランサムウェアによるシステム障害でしょう。7月4日の6時半ごろから「名古屋港統一ターミナルシステム(略称・NUTS)」に障害が発生し、名古屋港の全ターミナルの作業が停止に至った事案でした。
ランサムウェアへの感染による障害からの復旧に取り組んだ結果、7月6日の18時15分には全ターミナルで作業を再開することができ、幸いにも物流に大きな影響は出なかったようでしたが、肝を冷やした人も多かったのではないでしょうか。港湾施設はサイバーセキュリティ基本法における「重要インフラ」に含まれていませんが、この事案がきっかけとなって、重要インフラへの追加の検討やそのセキュリティのあり方に関する見直しがいままさに進められています。港湾施設と同様に、現状のセキュリティの観点からは重要インフラに位置づけられてはいなくても、もしもサイバー攻撃などを受けた場合には社会への影響が非常に大きい施設などがまだまだ存在するのではないかという懸念もあります。
また、サイバー攻撃による被害ではありませんが、10月10日から11日にかけては、「全国銀行データ通信システム(全銀システム)」のシステム障害も発生しました。原因はシステムの更改に伴うソフトウェアの不具合であり、全銀システムはメガバンクも利用する重要かつ巨大なシステムであることから、メディアでも大きく報道されました。このようなシステム障害により金融機関での取引が行えなくなると、顧客企業の事業継続性にまで影響を及ぼすことになります。この手の重要インフラにおけるシステム障害は、サイバー攻撃とセットで発生するケースが多いですが、過去の事案を見てみると、設定ミスや操作ミスなどをきっかけとして大きなトラブルが生じたケースも少なくなく、2023年も引き続きそうした事案が発生してしまいました。
ここ数年、金融機関や通信事業者といった重要インフラを支える事業者のシステム障害が続いたことから、サービス提供者側では重要インフラ障害への備えが進んだ一方で、サービス利用者側では“利用停止になるような事態が起こり得る”という認識はまだまだ普及していないものと思われ、そうした認識不足という課題も浮き彫りになりました。
クラウドサービスに起因する事案では企業と消費者の双方に影響
3つ目のトピックは、クラウドサービス(SaaS)などの外部サービスに起因したインシデントが国内でも目立ち始めてきたことですね。その代表的な事案が、エネルギー事業者向けのクラウドサービス「クラウドAZタワー」が、第三者からマルウェアによる不正アクセスを受けたというものです。6月8日に発生したこの不正アクセスにより、ガスの提供事業者が利用状況や利用料金などを管理するサービスが停止しました。これによって、ガスの利用者への請求書の発行が遅延するなど、消費者が直接影響を受けた象徴的なケースとなりました。
もう1つ、6月1日に公表された、Booking.comの宿泊予約情報管理サービスが不正アクセスを受け、宿泊予約をしている一般消費者にフィッシングメールが届いてしまった事案もありました。攻撃者は、ホテルや旅館の管理者になりすましてBooking.comのサービスにログインし、そこに登録されている利用者に対して、クレジットカード情報の更新などを促すようなフィッシングメールを送りつけたのです。フィッシングメールを受け取った利用者としては、実際に予約等のやりとりをしているホテル・旅館からメールが送られているので怪しいと見抜くことは困難です。攻撃者からすれば外部サービスを巧みに利用して効果的にフィッシング攻撃をしかけているといえます。この事案でも、国内外のホテルや旅館といった事業者のみならず、予約していた消費者に被害が及んでしまいました。
今回のテーマは国内のインシデントですが、参考までに、海外でも似たようなセキュリティインシデントが2023年1月4日に公表されていたので紹介します。これは、「CircleCI」という開発環境をクラウド上で提供しているサービスが不正アクセスを受け、サービスの利用企業などが使っているGitHubなどの情報が流出したという事案です。サービス利用企業のプログラムの改ざんなども行えてしまう極めて深刻度の高い内容でした。
サービスを利用する企業からすれば、まさかクラウドサービス事業者が不正アクセスにあって、その火の粉が自分たちにも降りかかるとは想定していないかもしれませんが、現実にそうした事態はいくつも起きています。しかも、インシデントが発生した際の被害はかなり大きなものとなることが予想されますので、サービスの利用企業としては、クラウドサービス事業者の運用体制なども含めてしっかりと確認する必要があるでしょう。
手口のバリエーションが増えるフィッシング
続いては、先のBooking.comへの不正アクセス事案のなかでも触れたフィッシングです。フィッシングといえば、昔から定番である、メールを送り付けてIDやパスワードを盗みだすといったケースが未だに多いですが、最近ではそうしたオーソドックスなもの以外にも、手口にバリエーションがでてきています。
たとえば、ECショップ作成サービスを運営するBASEは2023年1月10日に、同社のサービスを利用するECショップ管理者に向けて、購入者になりすました不審メールが発生しているとして注意を呼びかけました。ECショップのCONTACTフォームを利用して、ECショップの運営者に対して購入者を装った問い合わせメッセージが攻撃者から送られてくるというもので、問い合わせ内容に記載されているURLにアクセスすると、BASE管理画面のログインフォームに類似した画面が表示され、そこにメールアドレスとパスワードを入力しログインしようとすると、攻撃者にログイン情報が不正取得されてしまうことになります。そして、ログイン情報を不正取得されてしまったECショップでは、攻撃者が不正に管理画面へログインし、購入者に対してショップになりすましたフィッシングメールを送信して、購入者のクレジットカード情報をだまし取る事案も確認されています。
これと似た事案として、名刺管理サービスを提供するSansanは、サービスを利用中の顧客に対して、同社社員やサポートセンター等になりすましてログインパスワードを聞き出そうとする電話やメールの存在が報告されているとして、3月30日に注意喚起を行っています。
3月31日には、同様の手口を用いた名刺管理システムへの不正アクセスによる情報漏えい事案も公表されている(川崎設備工業株式会社「名刺管理システムへの不正アクセスによる情報漏えいに関するお知らせとお詫び」(2023年3月31日、2024年2月15日最終確認))
このように、「フィッシング」と一口に言っても最近はバリエーションが増えており、攻撃者側は一般の企業や組織よりも一枚も二枚も上手ですから、決して甘く見てはいけません。フィッシング攻撃そのものによる被害だけでなく、それを通じて盗まれた情報が、内部ネットワークへの侵入に悪用されるなどその企業・組織を脅かす発端となる可能性もあるわけで、最新のフィッシング攻撃の手口にはどのようなものがあるのか、しっかりと追い続ける必要があるでしょう。
ソフトウェアだけでなくネットワーク機器等の脆弱性も狙われるように
最後に、5つ目のトピックとして、ソフトウェアや機器の脆弱性を悪用したサイバー攻撃があげられます。とりわけ印象的だったのが、8月4日に発表された、内閣サイバーセキュリティセンター(NISC)、気象庁および気象研究所のメール関連機器に対するサイバー攻撃事案です。この3つの組織は、それぞれが使用していたメール関連機器に対して、メーカー側がこれまで確認できていなかったシステムの脆弱性を狙った不正アクセスがあったと公表しています。
一般に“脆弱性”というと、ソフトウェアにおけるセキュリティ上の不具合と認識されがちですが、最近はネットワーク機器やアプライアンス製品のような機器側の脆弱性が狙われるケースも増えています。これらの機器がサイバー攻撃を受けてしまうと、ネットワーク内部へと侵入されたり、そこで管理している情報が窃取されたり、そもそもセキュリティ機能自体が無効化されたりするおそれがあるため、特に注意が求められます。
そういった文脈で注目したいのが、10月16日にシスコシステムズが発表した、同社のネットワーク製品にOSとして搭載されているCisco IOS XEの脆弱性です。これは、対象製品のWeb UI機能(管理コンソール)をインターネットや信頼されないネットワークに公開している場合に、外部から第三者が最上位の特権アカウントを作成して、当該システムを制御できてしまう可能性があるというものでした 2。
当初はこの事案について、大規模なネットワーク運用に用いられることのあるネットワーク機器に搭載されているOSが対象ということで、第三者が管理コンソールへアクセスできるような外部公開がなされているケースは限定的だろうと考えていました。しかし、脆弱性が発表されたタイミングで確認したところ、インターネットを通じて外部から管理コンソールにアクセスできてしまうケースが国内外で多数みられ、国内だけでも数百件にのぼりました。さらにショッキングだったのは、深刻な脆弱性のため利用組織が迅速に対応することで、少なくとも公開されたままの管理コンソールは早々0件に近づくだろうと思っていたところ、2023年12月の時点でも100件以上の管理コンソールが外部からアクセスできるままとなってしまっていることです。
そもそも管理コンソールは誰でもアクセスできる必要はありません。原則公開しない、もしくはアクセス元を限定するという方法をとることで、万一の事態でも影響を軽減することができます。それにもかかわらず、今回の脆弱性への対応が進まない現状を前にして、情報の届け方や呼びかけ方を改めて考えなければならないと危機感を感じた事案でもありました。
脅威情報の収集に先立ち「何を守るべきか」を把握すること
これまでお話しいただいたような2023年のセキュリティトピックを踏まえて、セキュリティ担当者はどのようなアプローチを取るべきでしょうか。
多様な脅威が我々を取り巻いているという状況そのものは大きく変わっていません。そのため、引き続き、脅威に着目した継続的な情報の収集や整理がセキュリティ担当者に求められているといえるでしょう。
情報の収集・整理を行う際に注意すべき点は、公開されている情報のみに頼らないようにすることです。普段、我々から見えている情報の範囲はかなり限定的です。報道やSNSを見ると特定の分野の話題が目立って見えてしまうことがありますが、実態としてはまったく違う領域が頻繁に狙われているといったケースもありえるわけです。公開情報を押さえることは当然必要ですが、それだけでは限界があることを踏まえ、非公開情報も想定した情報収集をしなければいけません。
また、膨大な脅威情報を読み解くうえでは、まず自社が脅威から守るべき対象を見定めたうえで、それに影響を及ぼす可能性がある事象や脅威に焦点をあてて情報収集することが重要です。守るべき対象は事業環境の変化にあわせて刻々と変わりますので、よりリアルタイムに近いスパンでシステムや資材の状況を確認し、いま何を守るべきかを把握しておくとよいでしょう。加えて、インシデントなどの情報を収集した際は、「何が」起きたのかだけではなく、「なぜ」起きたのかにまで考えを及ばせることも大切です。
2024年の国内セキュリティ動向予測と生成AIがもたらす功罪
2024年の国内におけるセキュリティのトレンドについてはどう予想されますか。
2023年までの流れからドラスティックに何か新しく変わることはないと見ています。たとえば、内部不正にしても性善説に頼らざるを得ないという状況は大きく変わることはなく、その穴を内部関係者が巧妙に悪用してしまうリスクは今後も続くことでしょう。ランサムウェアを使ったサイバー犯罪については海外の司法機関による取り締まりが行われるなど一定の進展はありつつ、犯罪者のエコシステムが確立されてしまっている現状を変えていかない限り、2024年も引き続き被害が発生すると思われます。
地政学的リスクにも引き続き注目していくべきでしょう。サイバー攻撃は国境をまたいで行われることから国際的な協調が重要ですが、現在の情勢を見るに国家間での取り組みを通じた解決への動きは2024年においてもなかなか実現が難しいかもしれません。世界が1つになってサイバーセキュリティに取り組むというのは、まだ先のフェーズだと思います。国家が関わるサイバー攻撃は、2024年も活発に行われると予想します。
piyokangoさんが個人的に注目するトピックはありますか。
先ほど、脅威情報の収集や分析が重要だという話をしましたが、それに対する生成AIの影響について注目しています。生成AIを活用することで、大量の情報を網羅的に分析できるようになるため、脅威への対応における生産性や効率性が飛躍的に向上するという期待があります。
一方、偽情報が生成AIによって作られるようになることで、第三者が正誤を判断することがこれまで以上に難しくなるのではないかと懸念しています。いまは不自然さを見抜けるようなものでも、生成AIの進化によってより自然な内容だと感じるようなものとなり、一見して本物の情報と見分けがつかなくなるおそれがあります。脅威情報についても、生成AIによる偽情報でないかをどう見極めるのか、考えなければならなくなるでしょう。いずれ情報の正誤を見分けること自体が不可能になることすらあり得ます。その場合にはどんな手立てを打つべきかも考えておくべきかもしれません。
生成AIについては、攻撃者がサイバー攻撃に悪用することも考えられるでしょうか。
たとえば技術的な知見がない人が、生成AIを使うことでいきなり攻撃ができるようになるということはないと思います。ブラックマーケットでマルウェアなどを購入したほうが手っ取り早くて信頼度も高いというのが現状でしょう。ただし、生成AIでできることが増えるなど、何かきっかけがあれば状況は変わり得るので、生成AIの技術レベルについては常に追いかけなければなりません。マルウェアを生成AIに渡して、検知されないための亜種をつくらせる、といったことは近いうちにできるようになってしまうかもしれません。
セキュリティ担当者は他部門への能動的なアウトプットが大切
最後に、セキュリティ担当者へのメッセージをお願いします。
個人的には、セキュリティ担当者のみなさんに、ぜひ能動的なアウトプットを意識して実務にあたっていただけたらと思っています。ただしそれは、どんな情報もインターネットで発信しましょう、ということではありません。
サイバー攻撃等の脅威は情報システムやITの世界に閉じるものではなく、企業活動の様々な面に影響を与えます。たとえば情報流出やシステム障害につながる可能性がなかったとしても、レピュテーションリスクに影響するサイバー脅威が確認された場合は、広報部門に連携しておくべきでしょう。ビジネスメール詐欺(BEC)については、経理や総務などの担当部署に、どんな脅威でどう対応すべきかを共有しておくことが必要です。
収集した脅威情報をもとに、情報システムの世界で「自分ごと」にするだけではなく、他の各部門を含めた自社全体への影響まで考えを巡らせること、必要な情報が必要な人に届くようなアウトプットを意識して実務にあたることで、セキュリティレベルの向上に取り組んでいただけたらと思います。
piyokango
セキュリティインコ。インシデントや脆弱性などセキュリティ関連の話題に目がなく、年中追いかけつつ、気の向くままに調べたり、まとめたりすることに従事。2018年からはNICTサイバーセキュリティ研究室の協力研究インコとしても活動している。CISSP。Twitter:@piyokango
(取材・文:小池 晃臣)