●重要インフラへのサイバー攻撃の歴史
講演の2本目は内閣サイバーセキュリティセンター(NISC) 松本氏によるNISCの取り組みと重要インフラ関連のサイバーセキュリティ動向についてだ。
NISCは内閣府の組織として、おもに政府省庁とその関連期間のセキュリティ対策を担っている。また同時に国のサイバーセキュリティ政策の遂行及び支援のため重要インフラ事業者とも連携し、国レベルのサイバーセキュリティ強化にも取り組んでいる。
松本氏は、
「サイバーセキュリティは2000年ごろからの歴史といわれています。そのころ国内では経産省を含む各省庁のHPがサイバー攻撃をうけて改ざんされるという事件が問題になりました。また、不正アクセス禁止法が施行されたのもこの時期です。2014年にはサイバーセキュリティ基本法が制定され、民間や企業レベルのセキュリティから政策レベルでもサイバーセキュリティを考えるようになっています。ちなみにその基本法では、サイバーセキュリティについて、電磁気方式によって記録された情報の保護のために必要な管理・措置のことを指す言葉です。この言葉でイメージされるセキュリティ対策や攻撃への対応(インシデントレスポンス)は、サイバーセキュリティ一部であり、すべてではありません。」
と述べ、サイバーセキュリティは攻撃があってからの対応・処理だけでなく日頃から企業・組織全体での予防措置や継続的な取り組みが重要であるとした。
●攻撃の変遷:境界防衛から侵入された前提での内部監視へ
続けて、2000年代のサイバー攻撃は、主に公開サーバーに対するものが多かったと、年代ごとの攻撃の変遷を語る。企業ホームページやインターネットバンキングなどへの攻撃、サービス不能攻撃(DDoSなど)が主な攻撃で、対策も境界防衛がまず必須とされた。その後2010年代半ばからは、公開サーバーだけでなく企業内部の情報システムへの攻撃が増え始める。ランサムウェア攻撃が問題にたったのも2015年前後からだ。
前後して制御システムや重要インフラへのサイバー攻撃も目立ち始める。ロシアのクリミア併合時にはウクライナでサイバー攻撃による大規模停電が発生している。その後も情報システム内部、制御システム内部の深いところに潜伏する高度な攻撃が一般化した。
近年は、ランサムウェア攻撃、DDoS攻撃、高度な潜入型攻撃(システム内寄生戦術:Living off the Land)といった攻撃が連携しあうような動きもみられる。従来のDDoS攻撃やランサムウェア攻撃は、おもに犯罪組織が金銭目的のために行うことが多く、国家支援型のAPT攻撃とは一線を画していた。しかし、2024年末から25年頭に国内で発生した大規模なDDoS攻撃、暗号脅迫型から情報暴露型のランサムウェア攻撃に見られるように、APTのようにシステムの脆弱性を突いたり、長期にわたって潜伏しながら攻撃を行う攻撃が企業、重要インフラ、政府機関を問わず増えている。
●NISCと省庁連携によるインシデント対応事例
これら近年の攻撃について、NISCでは警察庁や金融庁などとも連携し、攻撃の分析や注意喚起を行っている。
「たとえば北朝鮮を背景とする「TraderTraitor」による暗号通貨事業者へのサイバー攻撃、中国が関与したとされる「Mirrorface」による情報窃取を目的としたサイバー攻撃では、警察庁や金融庁と連携し、攻撃の背景や手法を分析し、内容の公開、注意喚起、緩和策や対処例を解説・公開するといった活動を展開しました。」
重要インフラへのサイバー攻撃については、行動計画発表し、通信、金融、航空、電力など15分野について安全基準の整備、情報共有体制の強化、障害対応体制の強化などに取り組んでいるとした。松本氏は、その上で以下のような注意喚起、お願いを述べた。
「このように言うと、重要インフラや金融機関以外は心配する必要がないと思うかもしれません。しかし、国家が関連するサイバー攻撃でも民間の中小企業が被害を受けたり、攻撃の影響を受けたりすることは珍しいことではありません。また、一般企業や製品のセキュリティ対策が十分でないと、企業のサーバー、サービス、製品が汚染され、大規模な攻撃、重要インフラへの攻撃に利用される場合もあります。企業経営者は、決してサイバー攻撃を他人事と思わないようにしてください。」
●委託先が狙われる重要インフラへのサイバー攻撃
実際の重要インフラへの攻撃やセキュリティインシデントでは、一般の企業や中小企業が関わっている事例も多い。松本氏が指摘するのは、再委託先が攻撃されたり、システムの防御・設定に不備があり引き起こされたりする事例だ。
重要インフラ事業者のWebサイト管理を委託された企業がランサムウェアに感染しサーバーがダウンしたという事例が紹介された。この事例では、インフラ事業者が利用者への告知説明、情報漏洩の有無の確認、Webサイトの再構築などが実施されたが、被害を受けた委託先は契約を切られている。
同様に重要インフラ事業者の情報発信サイトを運営していた再委託先のシステムが攻撃され、盗まれたユーザーの個人情報がリークサイトに漏れていた事例も確認されている。ある病院では、給食サービス会社のVPN装置の脆弱性を利用され、病院とつながったシステムがランサムウェアに感染した。そのため、電子カルテシステムがダウンし医療業務に影響がでてしまっている。
●サプライチェーン全体での連携と対応を
最後に松本氏は
「これらの事例も、被害を受けたことないと実感がわかないかもしれませんが、NISC業務の中では、何度も現実の対応事例として接しているものです。攻撃された原因は、セキュリティパッチを当てていない、機器の設定が正しくないといった基本的な対策の不備が指摘されています。NISCでは、そのような企業向けにリスクアセスメント支援のためのフレームワーク、ガイドラインを公開しています。自社にどのような対策が必要なのか、どうやって攻撃から守ればいいのかの参考にしてほしいと思います。サイバーインシデントは、ある意味人災であるという側面があります。日頃の備えを怠らないようにしてください。また、サプライチェーン攻撃では、防御の弱いところが狙われますが、企業ごとの責任に任せる、押し付けるのではなくチェーン全体での連携、支援が必要です。」
とサイバーセキュリティを考えるうえでの心構えを語ってくれた。
ライター:中尾真二
イベントレポート 展示編につづく
次回のSecurity Daysは10月に東京、名古屋、大阪、福岡の4都市で開催。
公式サイト >> https://f2ff.jp/event/secd