2023年のサイバー攻撃事例から読み解く、法人が備えるべき脅威

記事監修
岡本勝之（トレンドマイクロ株式会社　セキュリティエバンジェリスト）

止まらないランサムウェア被害、国内初となる社会インフラ停止被害が発生

2023年は、ランサムウェア攻撃の被害報道が目立った一年でした。それを裏付けるように、国内のランサムウェアの検出台数は高い水準を示しています（図1）。また、ランサムウェア攻撃の被害を公表した組織は、2023年4月〜6月に過去最高となりました。2023年7月〜9月には減少をみせていますが（図2）、ランサムウェアの検出台数が高止まりの状態であることを考えると、予断を許さない状況と言えます。

2023年のランサムウェア攻撃で、注目すべきは、やはり名古屋港の港湾コンテナターミナルの管理システムがランサムウェア攻撃により停止した事例といえるでしょう^※1。総取扱貨物量で日本一を誇る港湾事業の停止は、経済活動に広く影響を及ぼしました。港湾事業者自体は、政府の「重要インフラ」に現時点で指定されていませんが^※2、中部圏の物流を支える拠点である名古屋港のシステムは社会インフラともいえます。こうした社会インフラが、サイバー攻撃により数日でも停止するに至った事態は国内では初の事例で、深刻です。社会インフラにあたる事業者、また関係先におけるランサムウェアをはじめとするサイバー攻撃へのセキュリティ対策状況の確認、改善は急務と言えます。
※1　名古屋港の活動停止につながったランサムウェア攻撃～今一度考えるその影響と対策
 ※2　重要インフラのサイバーセキュリティに係る行動計画

図1　国内法人組織におけるランサムウェア検出台数推移（トレンドマイクロの脅威データベースによる集計）

図2　国内組織が公表したランサムウェア被害件数推移（海外拠点での被害も含む。公表内容を元にトレンドマイクロが整理）

ランサムウェアの動向を予測するうえで、おさえておきたい点が、サイバー犯罪者の分業化が進んでいる実態です。攻撃に使用するツールや攻撃手法を開発し、サービスとして提供する者、そしてそれを利用する者というように、ランサムウェア攻撃においてビジネスモデルが構築されているのです（RaaS：Ransomware-as-a-Serviceと呼ばれる）。このビジネスモデルにより、技術的スキルの低い犯罪者であっても容易に洗練された方法で攻撃に参加できるようになったことで、ランサムウェア攻撃が増加しているのです。サービスを提供する犯罪者側にも、サービス化で広く利益を得られるメリットがあるため、引き続きこの動向は続くものと考えられ、注意が必要です。

拡大するアタックサーフェス、相次ぐデータセンター上のリソース被害

アタックサーフェス（攻撃対象領域）の点で、2023年はデータセンター上のリソースの被害が相次ぎました。国内においても、アタックサーフェスの拡大が続いています（図3）。拡大状況について理解を深めるため、ここでは過去数年の状況を振り返り、2023年の動向を解説します。

2020年頃から、国内でもネットワーク機器を攻撃し、組織に侵入する手口が常套化しています。侵入方法は、ネットワーク機器の脆弱性を狙い攻撃をするか、不正に入手したアカウントを不正に利用する手口です。とくに被害が顕在化しているのが、ネットワーク機器の脆弱性を悪用したサイバー攻撃です。この状況は現在も続いています。2023年1月〜10月に国内組織が公表したランサムウェア被害のうち原因を公表している事例（11件）の約5割で、ネットワーク機器の脆弱性が狙われています。

2022年には、サプライチェーンのつながりを悪用した攻撃が顕在化しました。セキュリティの脆弱な組織を踏み台に、取引先や本社などに、信頼された内部のネットワークを使い侵入を図るサイバー攻撃です（図4、ビジネスサプライチェーン攻撃ともよぶ）。2022年10月に発生した大阪急性期・総合医療センターのランサムウェア攻撃被害がこれに該当します。この事例では、納入事業者との間のネットワーク機器から病院に侵入が図られた結果、院内システムのデータが暗号化され、全面復旧までおよそ2か月間を要する事態となりました。ネットワーク機器への攻撃は、先述の通り2020年から常套化している手口ですが、自組織が直接攻撃を受けるのではなく、「信頼する他組織（取引先）」を経由して攻撃を受ける、新しいアタックサーフェスの顕在化を示す象徴的なインシデントとなりました。

図4　2022年のランサムウェア被害で確認されたビジネスサプライチェーン攻撃の概念図

そして、2023年は、データセンターがサイバー攻撃を受けることで、利用している組織の事業がストップするケースが相次ぎました（図5）。2023年6月の人事労務向けSaaS製品へのランサムウェア攻撃では、製品をホストしていたデータセンターのサーバすべてが暗号化され、長期間に渡り製品が利用できないという事態が発生しました。これにより、製品を利用する組織やさらにその先の利用社にも広く影響が出ました。また、先述の名古屋港統一システムのランサムウェア被害も同様です。管理システムをホストしていたデータセンター内のすべての仮想サーバと物理基盤が感染し、システム停止に至っています。

これまでも、データセンターにホストしたウェブサーバ（ウェブサイト）がサイバー攻撃の被害を受けたという事例はありました。しかし、データセンター内へのサイバー攻撃の侵入により、サービスの基盤自体が被害を受けたことが公表された事例は、これらが国内では初めての観測になります。クラウド（データセンター）への社内リソースの移転が進む中、組織のセキュリティリスクも組織外に分散していることを象徴する事例と言えます。自組織のインフラ、リソースの全体像を捉えたセキュリティ対策、体制へのアップデートが求められます。

図５　国内で確認されたランサムウェアの攻撃経路
ネットワーク機器やテレワーク環境、仮想プライベートクラウドに加え、2023年にはデータセンター上のシステムへのサイバー攻撃が相次いだ。組織が管理すべきアタックサーフェスは拡大している。

深化するサプライチェーンのセキュリティリスク

2023年に相次いだデータセンター上のリソースのサイバー攻撃被害は、まさにサプライチェーンのセキュリティリスクを示すものでもあります。ビジネスサプライチェーン攻撃のようにサイバー攻撃の侵害こそありませんが、組織間の繋がりを経由して、データセンターを提供する事業者→サービス利用企業→その顧客というように、被害が連鎖していく、組織にとって新たなセキュリティリスクと言えます。

ビジネスサプライチェーン攻撃^※の被害も続いています。2023年1月から2023年10月において、国内で公表されたセキュリティインシデント（316件）のうち、4.4％となる14件がサプライチェーン攻撃によるものでした。公表数自体は少ないものの、海外拠点へのサイバー攻撃を発端に、本社、グループ会社および関連会社計9社へとランサムウェア（Lockbit）の感染被害が拡散したケースもあり、サプライチェーンを構成するネットワーク上で侵害が拡大した場合に、被害が甚大なものになることがわかります。
※セキュリティの脆弱な組織を踏み台に、取引先や本社などに、信頼された内部のネットワークを使い侵入を図るサイバー攻撃

こうした他の組織を踏み台にするビジネスサプライチェーン攻撃の手口自体は新しいものではなく、標的型攻撃では従来から確認されているものです。標的型攻撃に見られる高度な手口が、ランサムウェアのような金銭目的のサイバー攻撃にも浸透してきている実態は、従来的なセキュリティ対策だけでは防御が難しい脅威が身近に迫っていること、警戒が必要なことを表しています。組織においては、サプライチェーン全体でセキュリティを考える必要があると同時に、組織内のセキュリティに関しては、拡大するアタックサーフェスや高度化する脅威への対策のアップデートが求められます。

「2024年国内サイバー攻撃の動向予測」の後編では、2024年に注目すべきサイバー攻撃の動向を解説します（記事公開につきまして、2023年12月18日を予定していましたが、2024年1月以降に変更になりました）。

監修