第2回 サイバー攻撃の根本対策となるファイル暗号化

1990年代のサイバー攻撃は、ウイルスなどを用いて不特定多数を対象にした攻撃がほとんどでした。愉快犯の自己満足を満たすことが目的で、金銭目的や競合他社の機密情報の窃取を目的とした攻撃はほとんどありませんでした。現代のような複雑な対策も必要なく、アンチウイルスソフトによるクライアントPC、ファイルサーバー、メールなどへのスキャンで十分対応が可能なものでした。

愉快犯によるサイバー攻撃が主だった時代から、2000年代に入り、特定の企業をターゲットにしたハッカー集団などによる「標的型攻撃」が出現します。自己満足的な目的から、個人情報の窃取のような金銭などの利益が目的となり、被害を受けた企業は信頼損失につながるなどの影響を持つようになります。特に製造業においては、製品の設計情報や技術情報などの知的財産がターゲットとなることが多く、企業の競争力が失われる事態に陥るケースも発生するようになりました。

さらに近年の標的型攻撃においては、ターゲットとなった企業に対して入念な調査を行ったうえでサイバー攻撃を仕掛けるケースも増えています。前回の連載で言及した「サプライチェーン攻撃」のように、ターゲットの企業だけでなくサプライチェーンとして関係を持つ企業やオフショア先の海外拠点なども含めて侵入経路の探索を行い、脆弱箇所を突いて攻撃を行うことで、より確実に機密情報を窃取します。

これまで説明のような大掛かりで用意周到なサイバー攻撃が発生している一方、比較的容易にサイバー攻撃を実行するケースも出てきおり、ここ1、2年の間でIPAやJPCERTなどのさまざまな機関で注意喚起がされています。

容易にサイバー攻撃が実行可能となった背景として、OS、ネットワーク機器、システムのミドルウェアなどのメーカーが公表して間もない脆弱性を悪用して、企業側の対策前に攻撃をする手法が一般化してきている事実があります。攻撃者やハッカーがシステムの脆弱性をメーカーよりも早く発見して攻撃する「ゼロデイ攻撃」とよばれる手法がありましたが、メーカーが公表してから企業が対策を講じるまでの間に脆弱性を悪用することで、攻撃者は調査をせずにサイバー攻撃が可能になります。この悪用される脆弱性を「Nデイ脆弱性」と言います。それに加え、攻撃に必要なツールも裏で出回ることもあり、プログラミングなどの技術的なハードルが一気に下がることで、容易に攻撃活動を実行に移せるようになってしまいました。

2020年8月25日の日経新聞で、2019年9月に注意喚起されたパルスセキュア社のSSLVPN装置の脆弱性を悪用してログイン情報が流出し、国内38社が不正ログインにあったことが報道されました。このように企業側もメーカー公表された脆弱性への対応が遅れてしまうことや対応そのものが見送られるケースもあるため、この「Nデイ脆弱性」を悪用したサイバー攻撃は今後さらに活発になるのではないかといわれています。