トレンドマイクロは1月9日、2023年のサイバー脅威動向に関する記者説明会を開催した。冒頭、セキュリティエバンジェリストの岡本勝之氏は、「2023年は、日本の安全保障に影響を及ぼすサイバー脅威が表面化した年だった」と語った。

  • トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏

岡本氏は、安全保障に及ぼすサイバー脅威として、「サイバーサボタージュ」「サイバーエスピオナージ」「インフルエンスオペレーション」を挙げて、それぞれについて説明した。

  • サイバーサボタージュ:システム停止や設備の破壊など、直接的な実害を与えるサイバー攻撃
  • サイバーエスピオナージ:政府機関や企業の情報を盗み出す諜報活動を行うサイバー
  • インフルエンスオペレーション:サイバー空間上の影響力工作

サイバーサボタージュ

岡本氏は、サイバーサボタージュの最たる例として、過去に例のない被害が短期間のうちに発生するようになったランサムウェア攻撃を紹介した。

国内における大規模なランサムウェア攻撃の被害組織に、徳島県の医療機関(2021年)、愛知県の自動車部品メーカー(2022年)、大阪の医療機関(2022年)、愛知県の港湾(2023年)がある。

これらの攻撃から、ネットワーク機器経由の直接侵入する手法から、信頼する他組織経由での侵入する方法に進化していることがわかり、サプライチェーンを経由した被害が拡大した。

さらに、2023年の名古屋港の攻撃ではクラウド上のサーバが暗号化されたことから、岡本氏は「昨今、クラウドに移行することで、セキュリティの課題を解決しているというイメージがあったが、侵入されてしまえばクラウドもオンプレミスと同じ状況であると考えられる」と指摘した。

こうした状況から、岡本氏は「アタックサーフェスが拡大している」として、注意を呼び掛けた。

  • 国内で発生した大規模なランサムウェア攻撃の例

サイバーエスピオナージ

岡本氏は、サイバーエスピオナージについて、「攻撃者からすると、情報を盗んだこともわからないのが理想。そのため、実態がわかりづらい」と語った。

一般的に、サイバー攻撃グループはターゲットや攻撃手法によって分類されることが多いが、サイバーエスピオナージに関しては、グループ分けが曖昧になってきているという。

岡本氏は、国内で行われている可能性があるサイバーエスピオナージとして、学術機関を狙う攻撃を挙げた、例えば、2023年10月、東京大学が大学院総合文化研究科・教養学部への不正アクセスによる情報流出を発表した。

加えて、経済安全保障上の機密情報(半導体製造関連や素材関連)を持つ企業も標的となっている可能性があるという。

そのほか、岡本氏は、最初に海外子会社を侵害して足掛かりを構築し、内部ルータを侵害して本社や他拠点に感染拡大した攻撃手法を紹介し、注意を促した

  • 国内でサイバーエスピオナージを行う標的型攻撃グループ

インフルエンスオペレーション

インフルエンスオペレーションとは、ターゲットとする敵対国家に対し、フェイクニュースやディスインフォメーションと呼ばれる虚偽情報を拡散したり、機密情報をリークしたりして、混乱と不信感を増幅させ、個人や国家の意思決定へ干渉することを狙うことを指す。

例えば、2020年のアメリカ大統領選挙の際には、フェイクニュースの拡散が脅威となり、FBIとCISAが共同で注意喚起を行った。

最近は、偽情報の拡散の手法として、生成AIを用いたディープフェイクが悪用されている。今後、生成AIによって、ディープフェイクの悪用が加速することが懸念される。

マイクロソフトが開発したAI音声生成ソフト「VALL-E X」では、3秒のサンプル音声があれば、そのサンプルの人物の声で自由に話させることができる。説明会では、岡本氏のディープフェイクの動画が披露されたが、映像で見る限り、岡本氏本人にそっくりであった。

今のところ、国内で大規模な被害が発覚していないインフルエンスオペレーションだが、岡本氏は「不安定な世界情勢の影響から、日本を標的としたインフルエンスオペレーションも明るみになる可能性がある」と指摘した。

求められるのは政府と企業が一丸となった対策

サプライチェーン攻撃に象徴されるように、近年のサイバー攻撃は、一組織が対策を講じるだけではすべてのリスクを回避することは困難になってきている。

また、サイバー攻撃が複雑化・巧妙化していることで、単一組織の被害情報では全体像が見えなくなっているという。

そこで、「サイバー脅威の情報を共有することが重要」と、岡本氏は述べた。ただし、攻撃の被害を受けた組織からすると、情報共有にメリットを見出せないという難しさもある。

こうした点から、情報共有によるメリットを明確にして、被害を受けた組織の安心感につながる仕組みが必要だという。具体的には、政府が、セキュリティガイドラインを整備したり、全体最適だけではなく個別最適にもなるような情報共有の枠組みを検討したりすることが求められる。