Written by 阿部 欽一
キットフックの屋号で活動するフリーライター。社内報編集、Webコンテンツ制作会社等を経て2008年より現職。情報セキュリティをテーマにした企業のオウンドメディア編集、制作等を担当するほか、エンタープライズITから中小企業のIT導入、デジタルマーケティングまで幅広い分野で記事執筆を手がけている。
ホワイトペーパーCylancePROTECT Maneged Service for LanScope
最恐のマルウェア”EMOTET(エモテット)”にどう対抗するか
2020年7月に「2020年東京オリンピック・パラリンピック競技大会」が開催されます。
世界的に注目を集める大会の開催が近づくにつれ、関連する組織や機関、企業などへのサイバーリスクの高まりが指摘されています。
セキュリティの脅威は、なにも関連機関だけのものとは限りません。
そこで、過去の大会でどんなサイバー攻撃が仕掛けられたかを紹介し、サプライチェーンに潜むリスクなど、日本で起こりうるサイバーリスクやその対策に何が必要かを考えていきます。
過去の大会ではどんなサイバー攻撃、
サイバー犯罪が仕掛けられたか
2020年に開催が予定されている東京オリンピック。過去の大会を見ても、国際的に注目度の高いイベントはサイバー攻撃やサイバー犯罪の標的になりやすいことは明らかです。たとえば、大会関係機関はもちろん、重要サービスを提供する事業者などが、破壊行為や情報窃取、金銭目的のサイバー犯罪の標的になる可能性があります。
実際に、2016年にブラジルのリオデジャネイロで開催された「リオ2016大会」では、次のようなサイバー攻撃が確認されました。
・オリンピック期間中に4千万回のセキュリティ脅威を観測、
2千3百万回の攻撃をブロック、大規模なDDoS攻撃は223回。(Cisco Systems)
・開会式が始まる前から、大会Webサイトなどにピークで540Gbpsという最大規模のDDoS攻撃。
(Arbor Networks)
■大会WebサイトはCDNで守られ被害(サイトダウン)はなし。
一方で組織委員会内では、Bot感染による情報(暗号化ファイル)の漏えいが発生。
周辺環境にも多くの被害が発生。
・リオ大会に関わる公共事業を請け負った建設会社のWebサイトから個人情報漏えい。
・期間中に要人(リオ州知事、市長、スポーツ大臣など)の個人情報漏えい。
※JAIPAクラウドカンファレンス2017「リオ2016大会の振り返りと東京2020大会へ向けたサイバー セキュリティの取組み」より
また、2018年に韓国の平昌で開催された「平昌2018大会」では、次のような事案が報じられました。
標的にしたサイバー攻撃が確認されたと明らかに。
・2017年12月下旬の対テロ訓練期間中に、関係機関を装った標的型メール攻撃を観測。
■2018/2/9:開会式の45分前から、プレス関係者向けの通信環境や映像配信、
大会Webサイトなどに影響。
・これまでオリンピックを標的としてきたサイバー攻撃と比べ、明らかに影響範囲が広い。
■2018/2/10:平昌大会組織委員会が、大会開会式で発生したサイバー攻撃について正式発表。
・『開会式運営や競技運営に直接影響を与えるものではなく、
システムは数時間で回復した。詳しい原因は解析中。』
■2018/2/12:米シスコシステムズ社の情報分析チーム(Cisco Talos)が、
攻撃に用いたとみられるマルウェアの検体サンプルを確認したと報告。
・マルウェアからはシステム破壊の機能のみが確認されている。
・マルウェアには44個の平昌五輪関連の資格情報(ユーザー名、パスワードなど)
とみられる文字列がハードコーディングされている。
■2018/2/14:Cyber Scoop社の報道によると、
『Atos社内の複数のシステムが、2017年12月からすでに侵入されていた可能性が高い。』
・Virus Totalにポストされたファイルをもとに、Cyber Scoop社が分析。
※交通セキュリティセミナー講演「東京2020大会に向けたサイバーセキュリティのチャレンジ」より
専門家によると、近年の大会では、自らの主張を世の中に訴えるというより、金銭目的などの明確な目的を持って組織内部に侵入したのち、ピンポイントに攻撃を行う傾向があるようです。
2020年東京オリンピックにおいても、金銭目的のサイバー犯罪として、「偽チケット販売サイト」「フィッシングサイト」、偽アクセスポイントなどによる「個人情報の窃取」、また、「ランサムウェア」による被害などが考えられます。
サプライチェーン攻撃のリスクも顕在化している
2020年東京オリンピックでサイバー攻撃の標的となりうるのは、政府や関連企業といった大会関連機関だけではありません。
というのも、製品やサービス提供のために行われる調達、開発、運用などの一連のビジネス活動の流れ(サプライチェーン)の中で、セキュリティ対策が弱い組織を狙う「サプライチェーン攻撃」の脅威が考えられるからです。
サプライチェーン攻撃では、セキュリティ対策が弱く、委託元からのガバナンスを効かせにくい委託先企業が狙われるのが常套手段。これまでも、委託業務を行う委託先企業が不正アクセスを受け、個人情報などの機密情報が外部に漏えいする事案が報じられました。
また、大会関連機関などを「本丸」とする標的型攻撃などにおいて、セキュリティ対策の弱い周辺の中堅、中小企業が狙われることが考えられます。
サプライチェーン攻撃は、独立行政法人 情報処理推進機構(IPA)が2019年7月に発表した「情報セキュリティ10大脅威 2019」の中でも、組織編で第4位にランクインしており、オリンピックを目前に控え、委託先組織のセキュリティ対策不足や、委託先組織の不適切な選定、管理がリスクになりうることを認識する必要があります。
では、取引先が情報漏えいを起こしたらどうなるでしょうか。
株式会社日本シュレッダーサービスが2016年3月に、全国の会社員、役員、公務員など100人を対象に実施したアンケートによると「報告書や改善書の提出を求める」(43%)がトップで、「取引の停止を検討する」(25%)が続くことが分かりました [図1]。
【報告書や改善書の提出を求める】
・どういう状況でそのようなことになったかを判断して、その後に対応を考える。
(30代/男性/会社員)
・まず、原因を究明しその対応次第で、取引について法的措置について検討すると思う。
(40代/女性/会社員)
・報告書などにより、まずは事実確認を行い、改善策を確認したうえで、
今後の取り扱いを決める。(40代/男性/公務員)
【取引の停止を検討する】
・漏えいした内容にもよりますが、経営に関わるような内容なら即取引停止で動きます。
(30代/男性/会社員)
・取引を継続することはできないのでまずは中止を検討し、速やかに会社で相談し判断することが
大切です。(20代/男性/契約派遣社員)
・取引の成立よりも、まずは自分の会社の存亡が第一。
漏えいの恐れをなくすためにも即座に取引を停止する。(20代/女性/会社員)
(株式会社日本シュレッダーサービス「あなたならどうする?取引先が情報漏洩を起こした場合」より)
原因究明や改善策の提出を求める意見に加えて、取引停止の検討、即座に取引を停止という回答が多くありました。このように、委託先の企業にとって情報漏えいやシステム停止による取引停止のリスクがあります。また、委託元企業にとっても金銭的被害やビジネス活動の中断、それに伴うブランドの毀損といった被害が及ぶ可能性があることに注意が必要です。
2020年東京オリンピックに向けたサイバー攻撃対策の考え方
経済産業省が公開する「サイバーセキュリティ経営ガイドライン」でも「経営者が認識すべき3原則」の中に、「自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要」と定められています。
そして、守るべき重要情報が何かを明確にした上で、重要情報に近づきにくくする「接近の制御」、持ち出しを困難にする「持ち出し困難化」、そして、漏えいが見つかりやすい環境作りとして「視認性の確保」を行うことが大事です。
サイバー攻撃への基本的な対策として、事前防御力を高めるAIを用いたアンチウイルスソフトや、ログ追跡などにより何があったかをトレースできるような仕組みを導入することも一つの選択肢となりえます。
ホワイトペーパーCylancePROTECT Maneged Service for LanScope
最恐のマルウェア”EMOTET(エモテット)”にどう対抗するか
関連する記事
