最近、日本に対するサイバー攻撃の被害が続いている。三菱電機をはじめ、神戸製鋼所、カプコン、富士通、オリンパスなど大手だけでなく、つい最近も、徳島県つるぎ町の町立半田病院がサイバー攻撃を受けて診療ができなくなったばかりだ。
こうした攻撃は、通常のインターネットでは辿り着けない「ダーク(闇)ウェブ」だけでなく、パスワードでアクセス制限されたサイトや暗号化されたメッセージングアプリのコミュニティなどのいわゆる「ダークネット」と呼ばれるサーバー空間で、不正アクセスのためのツールや認証情報、盗まれたデータや情報のやり取りが行われているケースが多い。
つまりサイバー攻撃は、こうした「ダーク」なサイバー領域が温床になっているのである。事実、先の病院のケースでも、関係者の情報がそうした空間に漏れていたようだ。
筆者は少し前から、そうしたダークな領域を監視する「サイバー脅威インテリジェンス」と呼ばれるサイバーセキュリティの有効性に注目してきた。
そして最近、日本で、脅威インテリジェンスにからむ興味深い取り組みが始まったと耳にした。サイバー攻撃が行われている「現場」であるダークな領域で活動する実際の攻撃者たちの動きや、ハッカー同士のやりとりの一部を、ブログのような形で公開するサービスが日本に「初上陸」したという。
■ サイバー脅威に先手を
このサービスは、「LUMINT(ルミント)」と呼ばれるオンラインのコミュニティで、日本でもビジネスを行っているイスラエル発のサイバーセキュリティ企業KELA(ケラ)が運営している。このサービスを見てみると、驚きの情報が詰まっていることがわかる。
そもそもKELAは、最近サイバーセキュリティ業界でも注目されている脅威インテリジェンスの分野で知られた企業だ。
脅威インテリジェンスとは、先に述べたダークウェブやダークネットを含むサイバー空間上で、サイバー攻撃者たちの動きを徹底的に調べて、その情報を分析して、サイバー攻撃が来る前に対策を行うというサービスである。また、攻撃が起きた後でも攻撃者の動向を追い、盗まれたデータの漏洩なども監視するという。
なぜこの分野が注目されているのかというと、最近では企業も公的機関もサイバー攻撃の対策を行うのは常識になっている。日本でも多くの企業が対策ソフトやシステムを導入して対応を行なっているはずだ。しかし、攻撃手口はどんどん増えて変化していくことから、攻撃を待っているだけでは心許ないのが実態である。そこで脅威インテリジェンスが世界的にも注目されている。
KELAは、すでに日本の企業や機関にもすでに脅威インテリジェンスのサービスを提供しているという。同社の公式サイトには「国家諜報機関クラスのダークネット監視プラットフォーム」を提供するとある。イスラエルといえばスパイ組織のモサドが有名だが、KELAでは、デジタル分野や通信分野の情報収集をしている「イスラエル国防軍8200部隊」の出身者らがプラットフォームを支えているという。
そんなKELAが始めたブログサービスということで、早速登録してみた。すると、驚いたことに、そこにはまだ知られていない日本企業のサイバー被害も出てくる。
■ ハッカーたちの動き
LUMINTに入ると、「ランサム・イベント」「ネットワークアクセス」「データリーク」「スレット・アップデート」など情報の種類を選択できるようになっている。例えば、近年深刻な問題となっているランサムウェア(身代金要求型ウィルス)の動向を垣間見ることができる「ランサム・イベント」を選択すると、最近世界で起きている攻撃や被害者の情報がいくつも表示される。
ただこうした情報は、同社が提供する脅威インテリジェンスのサービスのほんの一部に過ぎないという。
もともとLUMINTはアメリカでは英語版としてすでに始まっており、日本はアメリカに次いで2番目の公開となるというのだが、このブログそのものは英語。だが最近ではウェブブラウザがすぐに日本語訳をしてくれるので、それを活用すれば日本語でも利用することができる。
同サービスへの登録は日本語でできるようになっている。
このLUMINTで被害を受けている国を「地域」で選んで表示することもできる。そこで日本を選んでみると、驚きの結果が出てきた。
まず最新の情報としては、兵庫県にある物流業の企業(LUMINTでは実名)が出てくる。10月31日に、「LockBit」というランサムウェアを使うサイバー犯罪集団が、サイバー攻撃でその企業への侵入を成功させたとダークウェブで明らかにしているという。
さらに、10月28日には、日本企業のVPNのアクセス権を探しているという闇サイトの投稿に対して、「020」というサイバー攻撃者が「私はいくつかの日本企業のVPN管理者権限を持っている」と答えていると記載されている。
このように、闇サイトで日本に絡んだ動きのトレンドなども知ることができる。
筆者も取材でハッカーたちに取材することもあるが、実際に、ダークな空間ではこういう形で情報やデータがやり取りされている。
■ 日本の大手自動車メーカーも
さらに見ていくと、日本のある大手自動車メーカーの情報がダークウェブで最近検知されているとの情報が出てくる。
LUMINTのポストによれば、「Threat actor gero sells a database of XXXX(大手自動車メーカー名、LUMINTでは実名)」という。つまり「gero というサイバー攻撃者がXXXX社のデータを販売している」のを発見したという。そして、闇サイトの掲示板で、この「gero」が、「日本の多国籍自動車メーカー、XXXX社の工場のデータを売りたい」とメッセージを投稿している。
ブログは続く。「この攻撃者によれば、50ギガバイトのデータがある」とし、「デザインやツールの略図、制御システムのデータ」といった情報が含まれていると主張しているという。売値は明らかにしていないらしい。
LUMINTをチェックすると、現在私たちが警戒すべきサイバー攻撃のトレンドが見て取れる。それにしても、サイバー攻撃というのは、皆が知らないところでとんでもない規模で進行しているのである。
もちろんここに出てくる日本企業はきちんとサイバー攻撃対策は行なっていたはずだ。それでも、隙を見つけて攻撃してくるのが現在のサイバー攻撃の現実だ。
こんな例がある。例えば最近、医薬品開発の支援企業であるリニカルがサイバー攻撃を受けたことがニュースになっている。
同社の発表はこうだ。「当社では、ID・パスワード管理の手順化と周知徹底に加え多重認証システムを導入しており、不正アクセス防止・検知を行うセキュリティソフトウエアと、侵入後の検知・分析を行うEDR(Endpoint Detection and Response)サービスを導入し、VPN・ファイアウォールなどと合わせ、マルウエア感染や不正アクセスを未然に防止する仕組みを構築しております。また、事後の調査・対応が速やかに行えるよう、サイバーセキュリティ保険にも加入しております」
■ これまでの対策では不十分か
ここまでやってもサイバー攻撃によって、サーバーへの不正アクセスが発見された。しかも攻撃を行なったとされる「Ragnar Locker」というロシア系サイバー攻撃集団に、データを公開されたくなければ身代金を払えと脅迫されている。「Ragnar Locker」は、ゲーム会社のカプコンにも攻撃を行なった集団である。
リニカルは警察に相談し、身代金の支払いは拒絶しているが、国外のハッカーに取材をしてみると、いくつかの情報はすでに暴露され始めているとの話も出ている。
この例からも分かる通り、もはやセキュリティ対策をしているというだけでは、十分とはいえない時代に来ているということだろう。昨今の巧妙化するサイバー攻撃に対して、サイバー脅威のインテリジェンスからも攻撃を防御することも必要になってくるだろう。(了)
からの記事と詳細 ( あの大手自動車メーカーの情報も流出? サイバー攻撃の先手を打つ「脅威インテリジェンス」の実力(山田敏弘) - 個人 - Yahoo!ニュース - Yahoo!ニュース )
https://ift.tt/3wjTRn7
No comments:
Post a Comment