今回、初の試みとしてイベントレポートを公開し、講演・展示それぞれの切り口で取り上げる。
講演編では、3月中旬に開催された東京会場での講演から2つのセッションを取り上げ、その講演概要をレポートする。ひとつは日本電信電話(株) チーフ・サイバーセキュリティ・ストラテジスト 松原美穂子氏によるAI関連のサイバー攻撃動向に関するもの。もうひとつは、内閣サイバーセキュリティセンター(NISC) 松本崇氏による重要インフラへのサイバー攻撃動向に関する講演だ。
本記事では、松原氏の講演について、講演会場の様子と合わせて取り上げる。
●サイバー攻撃による被害総額は世界GDPの10%に達する
松原氏は、サイバー攻撃による金銭的被害の現状について次のように語る。
「世界銀行の統計によれば2023年、世界のGDPは106.17兆ドルと言われています。2025年のサイバー犯罪による年間被害額は10.5兆ドルに達するという試算もあります。すでに世界GDPの1割前後がサイバー犯罪によって失われる時代といえますが、この被害額はサイバー犯罪、サイバー攻撃によるものだけです。世界では、国家が背景となり、各国の知財を盗んで自国の製品や技術に利用する動き、戦争や紛争に関連したインフラや金融機関への攻撃も起きています。これらの被害は、サイバー犯罪の統計には含まれていません。」
つまり、サイバー犯罪に絡む被害金額だけでも、世界GDPの10%に届く規模になっており、これにサイバーテロ、国や軍が関連するサイバー攻撃の被害を加えたら、もっと多くなるはずで、世界GDP10%は優に超えるものになるはずだ。
金銭被害の拡大の背景にはランサムウェア攻撃の拡大がある。松原氏はその一例として2024年に国内で起きたランサムウェア攻撃被害の例をいくつか挙げた。
たとえば、医療系の情報サービスを行う会社は、ランサムウェア攻撃による情報漏洩とシステムダウンによって、指名停止や損害賠償請求を余儀なくされた。また、ある商社ではタイの子会社への攻撃によって25年2月期決算に5億7800万円の特別損失を計上することになった。別の大手電機メーカーでは決算において20億円もの業績の下方修正をすることになった。
●サプライチェーン攻撃では中小企業も狙われる
大企業の被害は、新聞報道などもされて目立つが、被害件数では中小企業のほうが多い。サプライチェーン攻撃では、むしろ防御の弱い中小企業が狙われることがある。しかも「中小企業の場合、攻撃による操業停止、損害等によって資金繰りの悪化から倒産にまで至ることがある。」と松原氏はいう。
サプライチェーン攻撃では、大手より防御の薄い取引先や子会社を狙い、大企業、本社のシステムダウンや不正侵入を行う。あるいは、取引先や調達元のシステム、製品にマルウェアを仕込む場合もある。そのため、規模の小さい中小企業だから狙われない、リスクが少ないとは限らない。
ランサムウェア攻撃対策で注意したいのは、第一にフィッシングメールへの警戒。次にVPN装置の脆弱性対策。企業の多くはVPN装置やファイアウォール製品などをデフォルト設定のままとなっている。コロナ以降のリモートワークで普及が進むVPNやリモートデスクトップは、脆弱性も多く報告されている。そのため、不適切な設定やセキュリティアップデートを怠るなどしていると、容易に攻撃を許してしまう。ネットワークのセグメント分離をしていないと、攻撃を社内システム全体や取引先までに広げてしまうこともある。
●進化する攻撃手法:AIやツールを活用する攻撃者
松原氏はAIを利用するといった新しい攻撃手法にも警戒が必要だという。
「2024年11月には、大量のスパムメールを送り付けた後、IT部門のフリをして標的にコンタクトしてくるという攻撃が確認されました。攻撃者はさらにTeamsで標的と接続し、遠隔支援を行うためと称し、クイックアシストをインストールさせます。その上で画面を共有することで情報を盗んだり、ランサムウェアをインストールさせたりします。このような攻撃は日本でも確認されています。」
また、AIを活用した攻撃も高度化が進んでいると警戒を呼び掛けた。
「ある会社の海外の関連企業の社長に対して、取引先の会長と専務になりすまし詐欺を働くという事例があります。電話やメールを使ったBECの一種ですが、取引先の会長や専務はAIを利用して偽の音声を再現したディープフェイク犯罪です。いくつかの事例では、幸いにも途中で不審に思った担当者によって未遂に終わりました。しかし、海外では、37億円も詐取された英大手建築会社などの事例があります。」
●劇場型詐欺にAIによるディープフェイクを活用
AIを使えば、写真から本人の動画を生成したり、数秒の録音音声から任意の発話を生成したりすることも可能だ。この技術を使えば、メール、電話、TeamsやWhatAppのようなツールを犯罪で活用する場面が広げることができる。
大企業のCEOや役員となると、顔写真や音声の入手は公開情報として入手することができる。会社のホームページには社長や役員の顔写真が掲載されている。メディアの取材を受ければ動画やインタビュー音声も公開されている。著名人や公人ほどディープフェイスを作りやすいことになる。一方で、SNSなどには個人の画像、家族や子供の動画なども流れている。一般人だからディープフェイクに利用されないことにはならない。
松原氏は、AIやコミュニケーションツールを悪用した攻撃は今後も増える可能性があるとする。そして、攻撃者側がAIをランサムウェアやマルウェアの作成、フィッシングメールの作成、攻撃の自動化にも利用しているように、防御側もログやデータの分析、セキュリティ対策の自動化、攻撃検知の自動化、悪性サイトやマルウェアの検出にAIを活用すべきとした。
ライター:中尾真二
イベントレポート 講演編(2)に続く
次回のSecurity Daysは10月に東京、名古屋、大阪、福岡の4都市で開催。
公式サイト >> https://f2ff.jp/event/secd