2021年、莫大な経済的損失をもたらしたサイバー攻撃はどれか？

2021年は世界中でさまざまなサイバー攻撃の被害が報告されたが、その中で最悪なものはどれだろうか。Security Affairsは1月3日、「The worst cyber attacks of 2021」において、経済的損失と業務の中断という観点から、世界中の組織に大きな影響を与えたとされる6件のサイバー攻撃を紹介した。

Security Affairsが紹介した最悪のサイバー攻撃は次の6件。

• 米CNA Financialに対するランサムウェア攻撃（2021年3月）
• Microsoft Exchange Serverの脆弱性を利用した大規模なサイバー攻撃（2021年3月）
• 米Colonial Pipelineに対するランサムウェア攻撃（2021年5月）
• 米JBS Foodsに対するランサムウェア攻撃（2021年5月）
• IT管理ソリューションKaseya VSAに対する大規模ランサムウェア攻撃（2021年7月）
• Apache Log4J 2.xの脆弱性を悪用したリモートコード実行攻撃（2021年12月）

米国の大手保険会社であるCNA Financialは、2021年3月にランサムウェア攻撃を受け、復旧のために4000万ドル（約46億4000万円）の身代金を支払ったとされている。この攻撃には「Phoenix Cryptolocker」と呼ばれる悪名高いランサムウェアの新種の亜種「Hades」が使われたことで話題になった。

Microsoftは2021年3月2日にExchange Serverの4つの脆弱性（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065）を修正する更新プログラムをリリースしたが、その後この一連の脆弱性を悪用した攻撃は世界中に広がり、多くの組織が緊急対応を余儀なくされた。この脆弱性に関連した攻撃に対して、米国のサイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー（CISA）は「緊急指令21-02」を発令している。

• Microsoft Exchange Serverに複数の脆弱性、4件の悪用を確認 | TECH+

米国の石油パイプライン事業者Colonial Pipelineは、2021年5月に「DarkSide」と呼ばれるランサムウェアによる攻撃を受け、一時的に操業停止に追い込まれる状況に陥った。最終的に、同社はシステム復旧のために400万ドル（約4億4000万円）の身代金を支払ったとされている。この攻撃の後、DarkSideを使用するサイバー犯罪グループは活動を停止していたが、7月にはその後継と見られる「BlackMatter」と呼ばれるランサムウェアおよびサイバー犯罪グループが登場した。米国務省はDarkSideの首謀者の情報に1000万ドルの報奨金を提示している。

• 米CISAとFBI、ランサムウェア「DarkSide」に関するアドバイザリ公開 | TECH+

米国の食肉加工大手であるJBSが2021年5月に受けたサイバー攻撃は「REvil」と呼ばれるランサムウェアによるものだった。同社はこの攻撃を受けて、攻撃者に1100万ドル（約12億7000万円）のビットコインを支払ったとされる。REvilとDarkSideはいずれもロシアのサイバー犯罪グループによって積極的に利用されていることが分かっており、2021年に入ってから活動が活発化していたという共通点がある。

• 食肉加工のJBS Foods、サイバー攻撃で停止した工場や施設を完全再稼働 | TECH+

REvilランサムウェアによるもう一つの大きなサイバー攻撃が、IT資産管理ソリューションの「Kaseya VSA」をターゲットとした攻撃である。この攻撃にはKaseya VSAのゼロデイ脆弱性が積極的に悪用された。Colonial PipelineやJBSのケースとは異なり、Kaseya VSAへの攻撃では多くのマネージドサービスプロバイダーがターゲットになり、最終的に1000社を超える企業にダウンタイムが発生したとされている。Kaseyaでは、顧客に復号機能を提供するため、攻撃者に身代金を支払ったと言われている。

• Kaseya VSAに大規模なランサムウェア攻撃、CISAとFBIがガイダンス公開 | TECH+

2021年12月に発表されたApache Log4j 2.xにおけるリモートコード実行の脆弱性は記憶に新しい。通称「Log4Shell」と呼ばれるこの脆弱性は、多くのJavaアプリケーションに影響することや、極めて悪用が容易なことから、公表された直後から世界中で攻撃が観測されている。エコシステム全体での完全な問題の解消には長い期間がかかるとされており、いまなお油断はできない状況だ。

• Java用ロギングライブラリ「Apache Log4j 2」にリモートコード実行の脆弱性 | TECH+

ここにも挙げられているように、2021年はランサムウェアによる数億円単位の大規模な被害が相次いだという印象が強い。ランサムウェアの被害は、金銭面だけでなく、事業の継続性や社会からの信頼といった点からも、組織にとっての致命的なダメージにつながる可能性があるということを改めて実感させられた。システムレベルでのセキュリティ強化に加えて、従業員のリテラシー教育の実施など、基本的な対策を徹底することで、2022年も気を引き締めてセキュリティ対策に取り組んでいきたい。