警察庁の2023年サイバー犯罪レポートを読む～法人として備えるべきポイント～

警察庁の国内サイバー犯罪レポートのポイント

2024年3月14日、警察庁より2023年版の国内サイバー犯罪レポート（以降、本レポート）が公開されました^※。毎年3月に公開され、前年1年間の国内のサイバー犯罪の検挙状況や検知状況などの統計情報や考察が記載されているレポートですが、対象分野は個人向け、法人組織向け両方を含みます。本記事では、特に法人組織が把握しておくべきポイントを、トレンドマイクロで把握している情報も加えて解説します。
※正式名称は「令和５年におけるサイバー空間をめぐる脅威の情勢等について」（2024年3月14日）。

本レポートにおけるポイントは以下です。

●フィッシング報告・不正送金の被害が過去最悪
●高い水準にとどまる国内組織へのランサムウェア攻撃
●その他押さえておきたいトピック（情報窃取を企図した不正アクセス/脆弱性探索行為）

以降で、1つずつ解説をしていきます。

フィッシング報告・不正送金の被害が過去最悪

本レポートで最も目を引くトピックは、フィッシング・不正送金に関するものです。特に2023年のインターネット関連の不正送金事案による被害は、発生件数5,578件（前年比391％増加）、被害総額も約87.3億円（前年比474.6％増加）で過去最悪となっています。またフィッシング報告件数も2023年は約119万件となり、こちらも過去最悪となっています。トレンドマイクロの調査においても、詐欺サイトへの誘導件数は2021年下半期以降高水準を維持しています。

図：「インターネットバンキングに係る不正送金事犯の発生件数及び被害額の推移」（本レポートより）

図：内から各種詐欺サイトに誘導された利用者の端末台数の推移と内訳（トレンドマイクロによる調査）

図：国内から各種詐欺サイトに誘導された利用者の端末台数の推移と内訳（トレンドマイクロによる調査）

こうした背景の1つに、モバイルマルウェアの暗躍があります。特に、以下の記事で紹介している「XLOADER」と「KeepSpy」は国内被害を2分するモバイルマルウェアと言え、感染したスマートフォンから金融機関に偽装してフィッシングサイトに誘導するSMSを盛んに送信していたことを確認しています（詳細は、下記記事をご覧ください）。2020年1～6月は約25%だったモバイル利用者の割合が、2023年1～6月には約43%にまで高まっている点も、こうした面を反映しています。

参考：日本を狙うモバイルマルウェアの実態は？～サイバーセキュリティシンポジウム道後2024レポート～

図：KeepSpyの最近の動向（上記記事より）

なお、本レポートにはフィッシング詐欺を行っているサイバー犯罪グループについて、以下2点の記載があります。いずれも日本国外にいた（もしくはいると思われる）サイバー犯罪者の追跡に関するものであり、サイバー犯罪の撲滅には国境を越えたサイバー犯罪捜査の連携が非常に重要であるということを示しています。

・フィッシングツールを用いてクレジットカード情報詐取を行った被疑者逮捕（インドネシア）
当社では「サービスとしてのフィッシング（PaaS：phishing-as-a-service）」と呼称するフィッシング詐欺サイト構築ツールの1つ「16shop」を用いて不正な行為を行っていた被疑者を国家間連携で逮捕した事例です。当社も詐欺サイトやツールの解析情報を提供し、捜査に協力を行いました。

参考記事：トレンドマイクロ、フィッシング詐欺「16shop」の捜査に協力しサイバー犯罪者の逮捕に貢献

・フィッシンググループの実態解明（中国語話者）
こちらは現在も実態解明中ということですが、あるフィッシング事犯を追跡している途中で、中国語でやり取りしながら、フィッシングの指示役・実行役・商品購入役・転売役に分かれて「エコシステム」を構築している犯罪グループを発見したということです。このグループは日本国内の企業・団体だけではなく、日本国外の企業・団体も標的としていることから非常に広範囲に活動を行っていると見られます。

このパート冒頭でお知らせした不正送金被害額87億円について、現在は被害者側で過失がない限り被害額は補填されることが多いです。しかし、このまま金融機関の負担を強い続けると多くの企業の活動にも影響が大きくなる恐れがあります。

企業・組織のビジネスのDXを考える上で、Webサービスの拡充やスマートフォン対応は欠かせませんし、サービス利用者向けにアカウントを付与して決済サービスや重要情報と紐づけている（またはこれから検討している）組織もあるでしょう。法人組織としては、以下のような点に留意していく必要があります。

・サービス利用者向けに、フィッシングサイトやスマートフォン向けのマルウェアなどの手口があることを定期的に注意喚起する。

・アカウント管理についても定期的に注意喚起する（パスワード使い回しの危険性の啓発等）。

・二要素/多要素認証は必須と言えるが、「SMS認証」は突破される危険性がある点を認識する。時間やコスト面から可能であれば、認証アプリなど別の認証方法を検討する。

・ユーザのアクセス後の挙動をモニタリングして、不審な点（夜間の金銭移動や普段より金額の大きい購入等）がないかチェックする。

高い水準にとどまる国内組織へのランサムウェア攻撃

本レポートでフィッシング・不正送金と同じく大きな割合が割かれているのが、ランサムウェア攻撃についてです。2023年のランサムウェア被害報告件数は197件であり、2024年から高い水準を維持しています。これはトレンドマイクロがまとめているインシデント公表件数でも同様の傾向です。2023年は、名古屋港のコンテナターミナルへのランサムウェア攻撃で搬入出の作業が3日間停止し大きな影響がありました。2024年に入っても、日本国内の病院や小売業の企業がランサムウェア攻撃を受けて業務停止や売上公表延期に繋がるなど、事業継続に関わる大きな影響が出ています。

図：企業・団体等におけるランサムウェア被害の報告件数の推移（本レポートより）

参考記事：2023年年間セキュリティインシデントを振り返る～2024年に向けた強化点を確認

また下記記事でもお知らせした通り、ランサムウェア攻撃の新たな傾向として、データを暗号化することなく窃取した情報を材料に脅迫を行う手口「ノーウェアランサム」があります。この手口が2023年は新たに30件確認されましたが、上記のランサムウェアの報告件数の中には含まれていないため、窃取した情報による脅迫行為という括りでは、160件ほどになる可能性があります（手口を確認できたランサムウェア被害175件のうち、二重恐喝によるものは130件＋ノーウェアランサム30件）。通常のランサムウェア攻撃もノーウェアランサムも、侵入方法や情報窃取の方法はほぼ同様であるため、法人組織としては侵入経路になり得る情報資産の洗い出しと万が一の攻撃の検知・対応体制を構築することが重要です。

参考記事：警察庁のサイバー犯罪レポートに見る「ノーウェアランサム」とは？～組織として対策しておくべきことは変わるのか？～

侵入経路という意味では、引き続き「VPN機器からの侵入」と「リモートデスクトップからの侵入」が2大経路となっています。使用している機器の脆弱性有無の確認やアカウントの設定（特に攻撃を受けた可能性がある場合、その後のアカウント変更の必要があります）を見直すことが非常に重要です。

図：ランサムウェア被害のうちの感染経路（本レポートより）

特に、VPN機器の場合、2023年、2024年早々にも様々な機器の脆弱性が公表されています。使用している機器ベンダーのサポートページや機器を設置したSIerからの注意喚起を確認するなど、自身の企業のアタックサーフェス（攻撃対象領域）をできる限り把握・極小化することが重要です。

参考記事：VPN、サイバー攻撃被害に共通するセキュリティの注意点

その他押さえておきたいトピック

その他押さえておきたいトピックは以下の通りです。

・情報窃取を企図した不正アクセス：
いわゆる標的型攻撃と呼ばれるサイバー攻撃です。2023年は、電子部品関連企業や行政機関、学術機関、航空宇宙分野の研究開発機関から不正アクセス被害について公表されました。潜伏しながら情報窃取を行うことを意図した攻撃で、重要産業や公的機関はもちろんのこと、それら取引のあるサプライチェーン内の企業・組織も対象となり得るため、どのような手口が存在するのか定期的に把握しておくことは必要です。

参考記事：日本を狙う標的型攻撃に立ち向かうために、知っておくべき5つのこと

・IoT機器を対象とした脆弱性探索行為：
警察庁が定期的に集計している「センサーにおいて検知したアクセス概況」によると、2023年の検知状況は1日9,000件以上と増加傾向にあります。調査目的と公表しているIPアドレスからの通信が増加しているものの、IoT機器の普及に伴い攻撃対象が増加しているとも分析しています。個人向けにIoT関連サービスを提供している企業・組織が提供している機器の脆弱性をメンテナンスすることはもちろんですが、産業用のIoT機器もこうした探索行為の対象となり得るため、自組織への侵入経路になり得るIoT機器がないかなど確認することが必要です。

最後に

本レポートでは脅威の動向だけではなく、捜査機関側の国家間捜査連携の取り組みやパブリックアトリビューションの実績なども公表されています。特に2024年2月の「Lockbitの攻撃インフラのテイクダウンと被疑者2名の逮捕」は、多くの企業・組織にとって歓迎すべきニュースであったと言えます。

参考記事：ランサムウェア攻撃者グループ「LockBit」の摘発の影響と今後

自組織の防御態勢を強化することも喫緊の重要なトピックですが、サイバー犯罪の撲滅には、捜査機関によるサイバー犯罪者たちへの取り締まりが重要です。そのためには、サイバー犯罪の被害を受けたり、その兆候が見えた場合に、捜査機関への迅速な通報・相談が重要となるでしょう。捜査機関側でも「サイバー事案の被害の潜在化防止に向けた検討会」を開催したり、医療分野では業界団体と情報連携の覚書を結ぶなどの動きがあります。業界や国家の垣根がないサイバー犯罪を撲滅するために、こうした取り組みが広がっていくことを願うとともに、サイバーセキュリティの専門企業である当社として貢献し続けていきます。

＜関連記事＞
・日本を狙うモバイルマルウェアの実態は？～サイバーセキュリティシンポジウム道後2024レポート～
・トレンドマイクロ、フィッシング詐欺「16shop」の捜査に協力しサイバー犯罪者の逮捕に貢献
・ランサムウェア攻撃者グループ「LockBit」の摘発の影響と今後
・2023年サイバー脅威総括：日本の安全保障に影響を及ぼすサイバー脅威とは？
・2023年年間セキュリティインシデントを振り返る～2024年に向けた強化点を確認