ランサムウェアの影響によるサイバー保険業界の変化 ~第2回 セキュリティリーダーのためのマクロ環境分析~
被害が拡大しているランサムウェア攻撃の影響を大きく受けている産業のひとつに、保険業界が挙げられます。サイバー保険料は、2025年までには最大225億ドルに達するとみられています。
はじめに
優れた戦略は、環境変化の正確な理解により生み出されます。それは、サイバーセキュリティ戦略も例外ではありません。トレンドマイクロでは、お客様のサイバーセキュリティ戦略に役立つ情報を提供するために、四半期ごとにマクロ環境分析を行っています。本記事では、直近三か月(2022年7月~9月)に起きた出来事を、政治・経済・社会・技術・脅威の観点から解説し、セイバーセキュリティにどのような影響を及ぼし得るかを考察します。本ブログでは触れていない出来事も多くありますので、ダウンロード資料も併せてご確認ください。
政治:サイバー攻撃に対する政府からの制裁措置
2022年9月9日、米国財務省外国資産管理局(OFAC)は、米国とその同盟国に対するサイバー活動に従事した疑いで、イランの情報セキュリティ省(MOIS)と情報大臣に対して制裁措置を発動しました。OFACはその制裁の理由として、当該組織とその活動を請け負ったサイバー攻撃者たちが2007年ごろから、世界中のさまざまな重要インフラ業界に対してサイバー攻撃を行ってきたことを挙げています。
ちなみにこの勧告の2週間前には、当国が関与しているとみられるサイバー攻撃者によってLog4jの脆弱性を悪用した攻撃が行われたという調査が公開されています。日本でも10月14日に、金融庁から「北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について」という注意喚起が出されました。
アトリビューションにはいくつかのレベルと意図がありますが、このような「パブリック・アトリビューション」に該当する情報発信には政治的な目的や戦略が背景にある場合が多いということを認識しておきましょう。サイバー攻撃の4大特性※1を踏まえて考えると、サイバー攻撃主体の特定を技術的な事実情報だけを頼りに達成することは、困難を極めます。攻撃主体の特定には、前後の政治的イベントや攻撃主体の属性などを考慮した推測も必然的に含まれるということも認識したうえで、その情報発信の意図に注意を向けてみましょう。サイバーセキュリティを考える上での新たな視点が得られるはずです。
もう一つの大きなハイライトとして、防衛装備庁の新調達基準の設定に伴う税制優遇措置の検討開始が挙げられます。ここでの詳細な説明は割愛しますが、サプライチェーン防衛にトップダウンでの合理化が推進されることは大きな意味を持つでしょう。新調達基準についての詳しい説明はこちらをご覧ください。
※1 ここでは、時間的/地理的な無限定性(時間と地理による制約がなく、いつでもどこからでも実行できる)、被害の不特定性(同時多発的な攻撃を極めて短時間で実行できる)、無痕跡性(痕跡の改ざんや消去が容易に実行できる)、匿名性(無痕跡性に伴い身元の特定が困難を極める)の4つを「4大特性」としている。
経済:ランサムウェアの影響によるサイバー保険業界の変化
ここ数年で被害が拡大しているランサムウェア攻撃の影響を大きく受けている産業のひとつに、保険業界が挙げられます。信用格付け会社のFitchRatings社によると、サイバー保険市場は堅調な伸びを見せており、年間で80億ドルから100億ドルと見積もられているサイバー保険料は、2025年までには最大225億ドルに達するとみられています。実際に、2021年の米国での年間保険料は前年比の74%増です。
2018年を境に、ランサムウェア攻撃の手法は「ばらまき型」から「標的型」へ移行しています。トレンドマイクロが2018年から2021年の間にインシデント対応を行ったランサムウェア事案の統計を取ると、その95%が内部侵入を伴う標的型の攻撃でした。この事実は、攻撃者が法人組織の内部ネットワークの奥深くに入り込み、クラウンジュエル(=守るべき重要な資産)を攻撃目標にしていることを意味します。一般的に、身代金額は人質として暗号化したデータの価値と比例するため、ランサムウェアによる身代金額が指数関数的に上昇していることとも整合が取れます。
サイバー脅威が量的にも質的にも高まっているならば、保険業界としても保険加入の条件水準を引き上げるのは当然の流れと言えます。コロナ禍で飛躍的に高まった私たちの衛生習慣レベルと同じように、サイバー保険への加入条件も高い水準のサイバー衛生が求められるようになるでしょう。サイバー衛生の目標はセキュリティアーキテクチャの適切な維持と運用です。コロナ禍で急速に拡大するアタックサーフェスへの懸念を考慮すると、今後は変更管理および構成管理の成熟度が鍵となりそうです。
社会:サイバーセキュリティ教育サービスの需要増加
セキュリティを専門業務としない社員を対象としたサイバーセキュリティ教育の需要が高まっており、それに合わせて教育サービスの提供も増えています。昨年のソフトバンクのプレスリリースに始まり、直近では大日本印刷、GMOインターネットグループなども教育サービスを提供していくといった発表などがありました。筆者がお客様と会話をする中でも、教育に関するご質問や課題の相談が増えてきたように感じます。
いわゆるプラス・セキュリティ人材のスキルアップに投資がなされているのは、昨今の脅威動向から考えると非常に合理的な選択と言えます。ワークスタイルやシステム構造の変化は、アタックサーフェスの増加というリスク要因の変化を引き起こしました。サイバー空間における攻撃対象が激増しており、その可視化と管理を完璧に行うことも難しくなっています。そうなれば、多層防御の観点からも、技術コントロールに加えて「人」の教育がリスク低減に貢献できる要素になるでしょう。
教育面で今後発生が予想される課題として、「教育の本質に沿ったプログラムの維持ができているか」が挙げられます。教育の本質を「今日できなかったことが明日できるようになること」とすると、既定の教育メニューを修了すること自体が目的化することは避けたいところです。また、脅威は日々変化するため、現実を反映している教育コンテンツを維持するための仕組みが必要です。セキュリティを専門とするパートナーとの連携は継続して行いましょう。
技術:ICS/OT機器のゼロデイ脆弱性の報告数増加世界最大の脆弱性発見コミュニティ「ZDI (Zero Day Initiative)」が2021年に報告したゼロデイ脆弱性の件数は1604件で、2020年の1453件から約10%増加しました。この増加傾向は予想の範疇ですが、注目すべきはその内訳です。アドバイザリーの上位3ベンダーを見てみると、Microsoft (174件)、Siemens (153件)、Adobe (145件) となっており、長年に渡ってTOP2だったAdobeをICS/OT機器メーカーであるSiemensが追い抜いたかたちとなります。また、他のメーカーを含むICS/OT関連のアドバイザリーの総数は586件となっており、これは報告総数の約37%を占めています。公表されたゼロデイ脆弱性の約64%をZDIが発見していることを踏まえると、この数字は脆弱性の動向を読み取る参考となりえます。
重要なのは、このデータから何を読み取るかです。ソフトウェア脆弱性は一定の頻度で発生し得るものだという前提に立てば、製品に脆弱性が見つかることよりも、製品の脆弱性を見つけられないことのほうが問題です。ICS/OT領域においてソフトウェア脆弱性の発見が増えたということは、IoTの普及に伴うデジタル化が進むにつれてソフトウェアの価値が高まり、そのリスク対応に投資がなされていると言えるでしょう。
今後もICS/OT関連の脆弱性報告件数は増えていくものと予想されます。メーカーに求められるようになる脆弱性対応の水準は高くなり、市場全体のセキュリティレベルの向上が期待されます。ユーザーとしては、ICS/OT環境の脆弱性リスクがより鮮明に可視化されるため、IT部門とOT部門の連携が期待されます。
脅威:機密性を侵害するランサムウェア攻撃の一般化
サイバーセキュリティの資格試験問題を参照していると「ランサムウェアにより侵害される情報セキュリティの原則は何か?」というような問題を見ることがあります。ちなみにこの問題の答えは「可用性」なのですが、現実の「ランサムウェア攻撃※2」に目を向けてみると、侵害される原則は可用性だけに留まりません。トレンドマイクロが9月に公表した調査では、ランサムウェア被害を受けた日本企業の67.1%がデータの暗号化だけでなく外部流出を経験していることが明らかになりました。
これは、ランサムウェア攻撃のほとんどが内部侵入型であることの結果です。ランサムウェア攻撃のリスクシナリオを検討する際には、業務停止に加えて機密情報の漏洩も勘案しておくべきでしょう。
ランサムウェア攻撃者がどのような種類の情報を摂取しているかというと、技術情報(42.6%)、顧客情報(55.3%)、従業員情報(44.7%)、ビジネスパートナー/サプライチェーン情報(46.8%)といったものが挙げられます※3。事業形態に合わせて、営業機密やCUI※4に指定されている機密情報がないか、保護すべき顧客情報やパートナー情報の保管場所とセキュリティ要件は再度確認しておきましょう。
※2 マルウェア単体としてのランサムウェアではなく、ランサムウェアの実行を含む一連の攻撃プロセスのことを指す。
※3 複数回答可の設問のため合計の%が100を超えている。
※4 CUI=Controlled Unclassified Informationの略。国家機密ではないが民間組織が持つ重要な情報を指す。
まとめ2022年7月~9月は、ランサムウェア攻撃が及ぼす影響の強さと広さを再考せざるを得ない期間となりました。経済優位性が地政学的争いに密接に関連する現代においては、攻撃主体の意図にかかわらず、ランサムウェア攻撃は政治的にも無視できない事案となっています。民間企業のセキュリティリーダーは今まで以上に国内外の法案や規制を敏感に捉え、サイバーセキュリティ戦略への影響を見極める必要があります。常に広い視野を持って、日々の情報収集を欠かさないようにしましょう。
法人のセキュリティ責任者がカバーすべき話題は、日々変化し、増え続けるばかりです。
我々トレンドマイクロがご提供する情報が、デジタル社会で戦うセキュリティリーダーのみなさまの一助になれば幸いです。
本記事は連載記事です。以下から続きをご覧ください。
関連記事
石原 陽平
トレンドマイクロ株式会社
セキュリティエバンジェリスト
CISSP。犯罪学学士。経済安全保障コーディネーター。世界各地のリサーチャーと連携し、サイバー犯罪の研究と情報発信を担う。また、サイバー空間における脅威概況や特定専門領域(産業制御システム/IoT/5Gなど)のセキュリティ調査/発信も担当。日本の組織の経営・役員に向けた講習、サイバーセキュリティの国際会議での講演などを通じ、ビジネスとデジタル技術の関係性や、サイバー事故の犯罪学的/地政学的考察に基づく、サイバーリスク対策の啓発を行う。
講演実績:Gartner IT SYMPOSIUM/Xpo™ 2023、SANS ICS Summit 2022、CYBER INITIATIVE TOKYO(サイバーイニシアチブ東京)2022、デジタル立国ジャパン・フォーラム 2022、制御システムセキュリティカンファレンス 2021・2022など
Security GO新着記事
堀場製作所のDX責任者が語る“ほんまもん”のグローバルセキュリティ戦略
(2024年11月15日)
暗号資産マイニングマルウェアとは?~事業停止にもつながるサイバー脅威~
(2024年11月15日)
いまさら聞けないNDRの有効性~EDRとはどう違う?
(2024年11月14日)
