IT & Information security Journal
2023年、グローバルでは相次ぐ軍事衝突が大きな関心事となりました。またIT分野では、生成AIが大きな話題となりました。それではこうしたトピックは、セキュリティ業界にどのような影響を及ぼしたでしょうか。PwCコンサルティング合同会社の丸山 満彦氏に、グローバルセキュリティに関する2023年の振り返りと、2024年の展望を聞きました。
この記事のポイント
| 事例 | 参考資料 |
|---|---|
| システム開発支援ツール「CircleCI」の侵害(GitHub、AWS等サードパーティーシステムにも不正アクセスのおそれ) | 1月3日・ニュース |
| VMware ESXiサーバの既知の脆弱性を狙ったランサムウェア攻撃 | 2月7日・JPCERT/CC CyberNewsFlash |
| Cloudflareへの大規模なDDoS攻撃 | 2月14日・The Cloudflare Blog |
| 米国連邦保安局への大規模なサイバー攻撃による、機密データ流出 | 2月27日・The New York Times |
| スペイン・バルセロナの病院におけるランサムウェア「RansomHouse」感染(緊急性がない手術のキャンセル等の影響が発生) | 3月6日・Noticias |
| サムスン電子(Samsung Electronics)におけるChatGPTの社内利用によるソースコード等の漏えい | 3月30日・The Economist Korea |
| 台湾半導体大手MSIへのサイバー攻撃 | 4月7日・Press Release |
| 3CXのVoIPソフトウェア「The 3CX Client」における改ざん被害 | 4月11日・News |
| 重電メーカーAsea Brown Boveri(ABB)へのランサムウェアグループ「Black Basta」による攻撃(同社のWindows Active Directoryを攻撃し、数百台の端末に影響が発生) | 5月23日・Group press release |
| バラクーダが提供するメールセキュリティ製品(ESG)における脆弱性の悪用 | 5月23日・ニュースリリース |
| ファイル転送ソフトウェア「MOVEit」の脆弱性による情報流出 | 6月6日・Progress Community |
| イスラエルの病院へのランサムウェア攻撃(新規患者の受け入れを停止) | 8月8日・THE TIMES OF ISRAEL |
| デンマークのクラウド・ホスティング・プロバイダーであるCloudNordicとAzeroCloudへのランサムウェア攻撃(すべての顧客のアクセスが不能に陥る事態) | 8月24日・TechCrunch |
| コロンビア政府省庁へのランサムウェア攻撃 | 9月15日・時事通信ニュース |
2023年にグローバルで起こった注目すべきセキュリティインシデントについて、UNITIS編集部で上記のとおりまとめました。こちらも念頭に、その傾向について解説してください。
グローバルでも日本で発生しているのと同様のインシデントが多い印象です。海外だけで顕著な被害や、逆に日本だけで起こっている特殊な被害というのはあまり思い当たりません。そうした前提も踏まえて、2023年の海外におけるセキュリティインシデントを振り返ってみます。
まず、顧客データの流出が発生した事案や、既知の脆弱性を狙ったランサムウェア攻撃といった、影響が大きい事案が多数起きました。
また、2023年は医療機関のサイバーセキュリティ被害を見聞きすることが多かった印象です。ただしこれは、攻撃者が医療機関を集中的に狙ったものだけではなく、攻撃者が入手したリストにたまたま医療機関が含まれており、セキュリティ対策が十分でない医療機関が多かったことから被害が相次いだということもあると思います。
加えて、半導体メーカーへのサイバー攻撃も散見されました。背景として国家間での半導体競争があることから、関連企業が狙われやすいものと推察されます。
そのほか丸山さんが注目した2023年のトピックはありますか。
サイバー関連でいうと、データを破壊したり、侵入してデータを盗んだりといったサイバー攻撃に加え、戦争や紛争を背景として、偽情報を流して世論を操作する「認知戦」といわれる動きも見られました。多いのは、ゲームや過去の戦争の画像といった既存のデータを使って、「昨日、某国が攻撃した跡地です」などと喧伝し、情報操作や世論操作を狙うケースです。特に2023年は、静止画に加えて動画の拡散も目立ったように思います。
2023年は生成AIの普及が大きな話題となりましたが、サイバーセキュリティ分野への影響はどのように考えていますか。
生成AIの開発企業は、生成AIでハッキング用のプログラムは作らせないといっていますが、悪用を100%防げる保証はありません。これから、過去の脆弱性や見つかった攻撃パターンをAIに学習させることで、効率的にマルウェアなどを作成するハッキングツールが出てきて、より効率的に防御をすり抜けるプログラムが作れるのではないかともいわれています。
また、今までは高度なスキルを持つ限られた数のハッカーやプログラマーがハッキング用プログラムを作成していましたが、生成AIを用いれば、たとえば1,000のAIを並べることで、大量のハッキング用プログラムを同時並行で作成できてしまいます。いわば、1,000人のプログラマーが一斉にプログラムを作るようなものです。「下手な鉄砲も数打ちゃ当たる」というように、プログラムを量産したうえで試してみて、「これは使えそうだ」というものを使って攻撃する、ということが今後起こり得るかもしれません。
逆に防御側は、生成AIの活用によって、通常とは異なるアクセスパターンの検出などをより効率化できることが考えられます。最終的にサイバーセキュリティは、人間対人間ではなく、AIで攻撃してAIで守る物量戦になる可能性があると推察しています。
2023年、日本国内ではランサムウェア攻撃やサプライチェーン攻撃に注目が集まりました。海外の犯罪グループによる攻撃に傾向はありますか。
ランサムウェアについては、リークサイトをはじめ攻撃者側のプラットフォームができあがっており、エコシステムも構築されています。お金さえ払えばランサムウェアのプログラムや攻撃対象リストを手に入れることができ、それらをもとに攻撃してお金を回収するというパターンが仕組み化されています。ランサムウェア攻撃は、ハッカーが実行しているケースよりも、犯罪者がハッカーを使ってビジネスとして行っているケースが多いでしょう。攻撃者は、誰を攻撃するかなどあまり細かいことは考えず、たとえばリストにある100件を攻撃して、そのうち20件に侵入でき、5件からお金が回収できたらいい、などと投資対効果の観点から攻撃しているように思います。
一方、防御側は対応が追いついてないのが実状です。たとえばA社がちゃんと対策していても、取引先であるB社の対策が不十分であればそこが狙われ、被害が連鎖することがあります。
2022年と比べて、ランサムウェア攻撃の手法に変化はありますか。
大きな変化は感じません。ただし2022年と比べてランサムウェア攻撃を気にして対策する企業が増えたことで、攻撃者側としては効率が落ちている可能性があります。身代金についても払うべきではないという風潮が強くなっており、支払わないケースが増えていると感じます。攻撃者としては投資対効果が悪くなっているのではないかと思います。
グローバルという観点では、海外拠点のセキュリティ対策に苦労する日本企業も多い印象ですが、実務上のポイントがあれば教えてください。
海外拠点においては、その所在国の企業と同等のセキュリティレベルを確保することが重要です。日本企業の海外拠点であっても、たとえばその拠点のIPアドレスが、米国で使用されているIPアドレスの範囲に含まれる場合、攻撃者は米国の企業だと見なして攻撃するでしょう。
たとえば、攻撃者が米国で使用されているIPアドレスのリストをもとに攻撃したとして、米国本社の企業はセキュリティが強固であることが多く、なかなか侵入できません。一方、日本企業の米国子会社では、本社からセキュリティ対策を求められても十分に実施していないケースが見られます。そのため、米国本社の企業と比べて被害を受けてしまう可能性が高いといえます。
攻撃者は米国子会社に侵入できた場合、そこから日本本社への侵入を試みるでしょう。結果として、日本本社では強固なセキュリティ対策をとっていたとしても、子会社から社内システムなどを辿って攻撃されてしまう可能性があるのです。
ただ、こうした被害は、米国の攻撃者が日本企業の米国子会社をあえて狙っているというわけではありません。あくまで攻撃対象のなかでセキュリティが脆弱なのが日本企業の米国子会社だったということです。
日本本社の情報システム・セキュリティ部門が、海外拠点まで目が届いていないことが影響しているのでしょうか。
情報システムやセキュリティの部門が原因というよりは、企業としてのガバナンスの問題なのだと思います。たとえば、米国子会社を海外事業部が管轄している企業で、セキュリティ対策などをCIO(Chief Information Officer)から米国子会社に直接依頼したとしても、まともに聞いてもらえないという話を聞くことがあります。これは、米国子会社の担当者の視点に立つと、あくまで自身の評価は海外事業部によって行われるため、その評価者の指示だけを聞いておけばよいと考えるためです。セキュリティ対策の指示がレポートラインを超えたものになってしまう体制に原因があるのです。
海外工場のセキュリティ対応がうまく機能しないことがあるのも、同様にガバナンス・体制上の理由によることが多いです。セキュリティ対応を「お願い」するのではなく、しっかりと指揮命令できるような体制をとらなければなりません。
セキュリティ対策において、日本が海外から遅れている部分はありますか。
新しい技術の導入が遅れているのではないでしょうか。海外では新しい技術が出てきた際に、すぐに業務に取り込もうとします。これは、米国を中心に、エンジニアたちが転職を重ねてキャリアアップしていくことに起因しています。いまの環境で成果を出さないと、次の職場に転職して給料を上げることができません。そのため新しい技術をどんどん使って、成果につなげようとする力学が働きます。新しい技術を導入した経験そのものを売りにして、より高い給料を求めることもできます。
日本は発想が逆で、新しいことにトライしてトラブルが発生してしまうと責任を問われかねないため、従来の技術で頑張ろうとしてしまいます。マイナスを起こさないことに力点を置きがちで、結果、とにかく運用が忙しくなってしまうのです。
2024年のグローバルのセキュリティ動向についてはどう予測しますか。
引き続き、ランサムウェア被害は一定数発生すると思います。特に東南アジアなどセキュリティ対策が行き渡っていない地域などにサイバー攻撃の被害が広がる可能性が考えられ、日本企業でも現地に工場や取引先を持つところなどは注意が必要です。
セキュリティ対策が弱いところが狙われるのはサイバーセキュリティにおける常識であり、近年はサプライチェーンリスクとして問題が顕在化しています。サプライチェーンの対策が難しいのは、契約で対策をお願いするしかなく、また場合によっては力関係の観点から依頼しづらいケースもあるためです。自動車業界は、業界全体で号令をかけてサプライチェーンのセキュリティ対応に取り組んでいます。今後は、半導体業界などでも同様の取組みが進むべきだと思っています。
「予算がなく対応できない」と取引先が音を上げてしまうようなケースもあるでしょう。一般に、中小企業はセキュリティ対策の予算が不足しています。小さな企業に「セキュリティを確保しろ」というのは、子どもに「100mを10秒で走れ」といって、「練習すればできるようになる」と無理強いしているようなものです。
解決策としては、たとえば重要な情報を安全にやり取りできるようにするため、大手企業側がデータを格納する場を用意して、そこに取引先がアクセスするような仕組みを設けることなどが考えられるでしょう。セキュリティ対策を遂行できる能力と資金を持っているところが対策を推進すべきだと思います。すでに米国では、リソースを持つものが対策に注力すべきだという考えにシフトしつつあります。たとえば、事業規模が大きく、資金もノウハウも持っているIaaSなどのクラウド事業者が率先してセキュリティを確保するよう動いています。
セキュリティの観点から、今後注視すべき国や地域はありますか。
ヨーロッパの動向を注視すべきでしょう。ヨーロッパ諸国は自分たちでルールを作ることで、自分たちに有利な、自分たちの価値観に合った社会を作ろうとしています。過去にはGDPRを策定し、最近ではAI規制法案も大筋の合意に至っています。サイバーレジリエンス法も今後施行が見込まれますし、AI規制法とあわせて対応の準備をしていかなければなりません。
本日はありがとうございました。
(取材・文:丸山 篤、写真:弘田 充)
UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。
この記事をシェアする
最新情報をフォローする
