2023年上半期セキュリティインシデントを振り返る| トレンドマイクロ

2023年の年間動向はこちらをご覧ください。
2023年年間セキュリティインシデントを振り返る～2024年に向けた強化点を確認

記事のポイント
・2023年上半期に公表されたセキュリティインシデント事例は、2022年下半期に比べ増加、とくにランサムウェアによる被害が増えている。サイバー攻撃の手口で多く確認されたのはアカウント侵害と脆弱性の悪用。

・サプライチェーン攻撃やサプライチェーンのセキュリティリスクを露呈するような被害が続いている。深刻な被害につながりやすい傾向があるため、自組織だけでなく、関係先への点検や対応要請が求められる（サプライチェーン攻撃の被害組織のなかには、海外拠点への攻撃が、本社と子会社9社に連鎖した事例も）。

・不正アクセスの兆候や挙動を検知する仕組みに課題が見られる。検知力を上げるための組織的、技術的対策が必要。

増加するランサムウェア被害、平均発生頻度は週1回以上

トレンドマイクロでは、セキュリティ動向の把握を目的に、公表情報をもとに、国内組織のサイバー攻撃に起因するセキュリティインシデントを収集、分析しています。実際の被害を受けた組織の公表情報から、インシデントの起因となった問題や被害状況を分析し、その結果を本記事でお伝えすることで、みなさまのこれからのセキュリティ対策にご参考いただければ幸いです。なお、本記事でご紹介する集計データは、公表情報をトレンドマイクロが独自に整理、集計したものです。

2023年1月1日~2023年6月26日の期間に国内法人組織より公表されたセキュリティインシデントの総数は193件で、2022年上半期ぶりに増加に転じました。内訳をみると、EMOTETによるインシデントは引き続き減少しているものの、それ以外の原因によるインシデントが増加していることがわかります（図1）。2023年3月に活動再開が確認されたEMOTETですが、３月以降攻撃メールの送信は止まっており、その結果、被害も減少したと推察されます。しかし、過去にもあったように今後手口を変えながら活動が復活する可能性もあり、引き続き注視していく必要はあるでしょう。

図1：国内組織におけるセキュリティインシデント公表件数の推移 2021年～2023年上半期

反対に被害件数が増加しているのがランサムウェアです。2023年上半期のランサムウェアによる被害は35件で、2021年からの半期ごとの集計で最大の件数になりました（図2）。これは、およそ週1回以上のペースで、ランサムウェア被害の公表が行われている状況です。

図2：ランサムウェアを起因とするセキュリティインシデント公表件数の推移 2021年～2023年上半期

ランサムウェア被害を公表した組織を業種別にみると、情報サービス・通信プロバイダが最も多く、次いで建設・不動産、製造業が多い結果となりました（図3）。

情報サービス・通信プロバイダでは、顧客向けサービスにランサムウェアの被害が及び、サービスの一時停止や納品遅延に至るケースもありました。また、建設・不動産、製造業では、海外拠点や委託先への攻撃が目立ちました（表1）。なかには、海外拠点への攻撃が発端となり、本社と子会社計9社に被害が拡大した事例もあります。組織間の業務上の繋がりを悪用して次なる攻撃の踏み台とするサプライチェーン攻撃と呼ばれるものです。2023年上半期は、このサプライチェーン攻撃や、サプライチェーンのつながりに起因するセキュリティリスクが露呈した被害が目立ちました。

目立つサプライチェーンのセキュリティリスク露呈

サプライチェーン攻撃は、業務上でつながる組織間でサイバー攻撃が拡大するものです。関係先から自組織に攻撃が拡大せずとも、多くのビジネスがデジタルを前提に成り立つ現在、1社へのサイバー攻撃がサプライチェーンでつながる関係先にも影響を及ぼす可能性があります。

2023年上半期は、このようなサプライチェーンのセキュリティリスクを露呈するインシデントも目立ちました。ネットワークを通じてつながる関係先については、ネットワーク機器などについて改めてセキュリティの点検を行うことを推奨します。また委託先については、業務内容や取り扱うデータの重要性とリスクの発生可能性を考慮して、優先度の高い委託先に関しては、改めて適切な契約、管理ができているか確認することをおすすめします。

とくに利用が広がるITサービス（SaaS、PaaS、IaaS）については、利用者側でも万一の備えが必要です。2023年上半期は、法人向けのITサービスがサイバー攻撃によりサービス停止に至るインシデントが相次ぎました。このため、利用するサービス自体が侵害を受ける可能性を事前に考慮し、その侵害による自組織のリスクの整理や侵害された場合の対応計画を策定しておくことが必要になるでしょう。

＜サプライチェーンのセキュリティリスクが露呈したインシデント事例＞
・ITサービス提供事業者がサイバー攻撃を受け、サービス利用者のビジネスにも影響が波及したケース
　　・社労士・総務部支援システムを提供する事業者がランサム攻撃を受け、サービスダウン（2023年6月公表）
　　・LPガスの検針システムを提供する事業者がランサムウェア攻撃を受け、サービスダウン（2023年6月公表）

・業務委託先がサイバー攻撃を受け、顧客情報など自組織の個人情報が漏えいしたケース
　　・保険会社の業務委託先が利用するサーバが不正アクセスを受け、委託していた個人情報の一部が漏えい（データ件数延べおよそ310万件、2023年1月公表）
　　・宿泊施設の利用する宿泊予約情報管理システムが不正アクセスを受け、一部顧客の個人情報が漏えいした可能性（2023年6月公表）

不正アクセスを早期検知する組織的、技術的対策に課題

公表された攻撃手口を見ると、被害組織に多く共通したのはアカウント侵害と脆弱性の悪用でした（表２）。脆弱性の悪用のうち6割以上は、Webアプリケーションの脆弱性で、卸・小売やサービスのオンラインショップの被害が目立ちました。

脆弱性やアカウント管理は、セキュリティ対策の基本といえますが、今も多くのセキュリティインシデントで原因として上がります。2023年上半期も、海外拠点が保有していた脆弱性が悪用され、グループ複数社にわたり被害が拡大したサプライチェーン攻撃の事例や、VPNに推測可能なパスワード利用されていたことが原因で組織に侵入され、ランサムウェアにデータを暗号化された被害などが発生しています。

基本的なセキュリティ対策を点検するととともに、自組織のアタックサーフェス（攻撃対象領域^※）を正確に把握し、リスクマネジメント（アタックサーフェスリスクマネジメント、Attack Surface Risk Management）を行うことが、セキュリティリスク低減に有効です。
※サイバー攻撃を受ける可能性がある自組のデバイスやソフトウェア

また、被害傾向からは、検知力の課題も見えてきました。自己調査で侵害を検知できた組織は全体の3割程度で、およそ7割は外部からの指摘ないし攻撃者からの通知によるものでした。

図：サイバー攻撃による侵害の発覚経緯(n=85件、公表情報の中で発覚経緯について言及されていた事例についてトレンドマイクロが分類、集計)

実際、被害組織の複数の事故報告で、攻撃対象の管理が不十分であったことに加え、不正アクセスを早期に検知できる組織的、技術的な仕組みが不十分であった点が言及されています。組織面の仕組みについては、セキュリティログの監視体制の整備を、また技術面に関しては、組織全体のネットワークを監視し、異常を検知できるXDRを利用した措置が有効です。こうした体制は、グループ会社の場合は傘下を含む組織全体での取り組みが重要です。

まとめ

公表されたインシデント情報からは以下の点が読み取られました。
・ランサムウェア被害の増加傾向
・攻撃手法として脆弱性の悪用やアカウント侵害が依然使用されつづけている
・サプライチェーンを経由した二次被害のリスクの顕在化
・早期検知機能の強化の必要性

組織や企業では、脅威の傾向を把握しつつ自組織のセキュリティ対策の弱点となる部分を把握し、事前に対策を行うことでセキュリティリスクを低減していくことがこれまで同様求められます。週に1回以上の頻度でランサムウェアの被害が公表されている事実を踏まえると、致命的な被害の発生を防ぐために、より素早く正確に自組織のリスクの把握と準備が必要となります。他組織の事例を元に、自組織のセキュリティ上の課題を確認するとともに、対策を行うリソースに限界がある場合には、最適なソリューションの導入を検討することや専門ベンダーに委託することも有効な手立ての一つです。