【サイバー攻撃の特徴まとめ(韓国KISA報告)】サイバー脅威と政策に関する重要ニュース
こんにちは。S2W NOTE編集です。
今回の記事では、グローバルニュースを元にサイバー脅威や関連政策に関して重要なニュースを抜粋してお届けします。
以下、2024年6月26日の韓国のニュースメディア『保安ニュース』の記事を翻訳・編集した内容になります。
サイバー攻撃の特徴まとめ(韓国KISA報告)
ランサムウェア攻撃、DDoS攻撃、個人情報流出、人工知能悪用、ダークウェブなどがキーワード
企業のサイバーセキュリティ侵害事故が引き続き増加しています。韓国インターネット振興院(以下KISA)によると、2020年の630件から2021年640件、2022年1142件、2023年1,227件に急増する傾向にあります。増加理由のひとつとして、2022年以降は企業に対して未認知事故への教育と報告への誘導を強化していることがあるというのがKISA側の説明です。
1. ランサムウェア攻撃、依然として深刻
ランサムウェア攻撃は前年比小幅減少したが、依然として深刻です。ランサムウェアの被害申告件数は2020年213件、2021年123件、2022年122件、2023年213件で、2年ぶりに約60%増加しました。また、ランサムウェア被害企業の割合も増えています。2018年55.1%、2019年56.1%、2020年62.4%、2021年68.5%、2022年71%、2023年には72.7%と増加傾向にあります。
特に、ランサムウェア被害企業のうち約78%が中小企業です。これは全体侵害事故の約81%に達します。これに関連してKISAのイム・チェテ・セキュリティ産業団長は「2024サイバーセキュリティカンファレンス」において「中小企業の被害は依然として深刻なレベルで、主な原因としてはサービス型ランサムウェアの登場、2倍以上高いランサムウェア収益率、個人情報流出などに伴う罰金の制度化」などを挙げました。
攻撃者のランサムウェア戦略にも変化が生じています。特に、ランサムウェア多重恐喝(Multi-extortion)手法が着実に増加しています。情報流出サイトなどを通じたデータ恐喝は前年比30%、メディアなどを通じた嫌がらせ的な手法は20%増加しました。
これに関連してイム団長は「ランサムウェアの恐喝手法も被害者がファイル復旧のためにお金を支払わせる目的でファイルを暗号化し、攻撃者が盗んだデータを流出させると脅迫し、DDoS攻撃でウェブサイトを麻痺させたり顧客やビジネスパートナー、メディアなどにデータを情報提供することなどで嫌がらせをした」と明らかにしました。
同団長はまた、「ランサムメモ付きのDDoS攻撃が継続的に発生している」として「ランサムウェア攻撃とは異なり、ランサムDDoS攻撃は攻撃者がはるかに簡単に遂行できる。 これに対しブラックフライデー、感謝祭、中国の光棍節(独身者の日)など攻撃者にとって収益が高い月には攻撃が急増した」と説明しました。
2. DDoS攻撃、ランサムウェアとIoTに活用され、増加
ランサムウェアと共にDDoS攻撃も増加傾向にあります。通信キャリアやウェブホスティング企業を狙ったDDoS攻撃被害が2022年の9.8%から2023年の51.5%と大きく増加しました。
これだけではありません。DDoS攻撃は、モノのインターネット(IoT)ボットネットを通じても敢行されています。これは家庭用ルーターから産業用通信設備までIoTが幅広く活用されている反面、セキュリティに脆弱なためです。主な原因としては、デバイス自体に対するセキュリティの脆弱性とデバイスのユーザーのセキュリティ認識不足、セキュリティアップデートの困難などが問題として指摘されています。
このような状況のため、IoT機器のマルウェア感染でボットネットによるDDoS攻撃が増加しています。2023年9月から急速に拡散しているボットネットが発見され、それ以降に感染したデバイスは一日平均22件で1,800件以上に達します。また、2024年に国内ケーブル放送事業者D社のルーター対象にマルウェア「mirai」が伝播され、DDoS攻撃が発生した経緯があります。
3. 個人情報漏洩
個人情報の流出も深刻で、毎年急増する傾向にあります。2021年の163件から2022年の167件、2023年の318件と、2022年比で90%増加しました。特にウェブ脆弱性攻撃が40%、クリデンシャルスタッフィングが25%を占め、アカウントセキュリティとウェブサイトのセキュリティ強化が急務です。
4. 人工知能を悪用したサイバー攻撃
人工知能を悪用したサイバー攻撃も注目されています。特に、ChatGPTを活用して管理者ページを探知した後、個人情報やデータを流出するのに悪用していることが明らかになりました。
5. 攻撃者、ダークウェブ・ハッキングフォーラムなどの二元化運営
最近注目される攻撃者の手法を見ると特徴的なのが、ダークウェブ、ハッキングフォーラム、テレグラムを二元化して運営しているという点です。特に、多数のハッカーがユーザビリティ、利便性、速度などの理由でテレグラムを好んでおり、彼らのテレグラム利用率が増加傾向を見せています。
これに対してイム団長は「ダークウェブ・ハッキングフォーラムはアクセスの容易性、匿名性、セキュリティが強化されハッカーの利用が活発になっている。テレグラムの場合、コミュニケーションチャネル、利便性、速度、流出ファイルアップロード用に様々な用途に活用している」と分析しました。また、ハッキングフォーラムで活動するハッカーのうち、それに加えてテレグラムチャネルも運営するハッカー数が着実に増加しているとし、2022年24,607件、2023年49,846件と78.2%増加したとのことです。
また、ダークウェブを通じてシステム管理者アカウント(RDP、VPN)を専門的に販売するブローカーも増えています。Group-IB2023年1月のレポートによると、「IAB(Initial Access Brokers)」の活動が拡大し、アカウント獲得方法(フィッシング、内部浸透、外部露出装備など)が多様化しており、アカウント奪取のためのマルウェアであるインフォスティラーが増加していると明らかにした。
最近のサイバー攻撃は金銭目的が大半
では、このようなサイバー攻撃を敢行する攻撃者たちの目的は何なのでしょうか。イム団長によると、最近サイバー攻撃の主な目的は金銭の搾取だそうです。金銭奪取目的のサイバー攻撃を受ける産業群は医療98%、製造96%、教育92%、政府·公共機関68%(いずれも増加率)の順となっています。
同氏は「最近のハッキング攻撃の目的と産業群別の特徴を調べれば政府、公共機関を対象にするハッキングの場合、スパイ行為と政治的理念を目的とする比率が32%で、北のハッキング攻撃の大部分は政府、公共機関を対象にしている。この場合70%以上が情報収集目的」と説明しました。
