2024年第1四半期の国内セキュリティインシデントを振り返る

記事のポイント

・インシデントは84件、うちランサムウェアの被害は13件。ランサムウェア被害の件数は減少傾向だが、大きな被害に繋がる事例も散見されている。

・「不正ログイン」と「サポート詐欺」の被害が増加傾向に。特に不正ログインは急増しており、SNSやメールなどクラウドアカウントの乗っ取り被害が多発。

・アカウント管理の重要性が高まっており、多要素認証やAttack Surface Risk Managementなどの技術導入が推奨される。

インシデント被害は毎日、ランサムウェア被害は週に１件

トレンドマイクロでは、セキュリティ動向の把握を目的に、公表情報をもとに、国内組織のサイバー攻撃に起因するセキュリティインシデントを収集、分析しています。
実際の被害を受けた組織の公表情報から、インシデントの起因となった問題や被害状況を分析し、その結果を本記事でお伝えすることで、みなさまのこれからのセキュリティ対策にご参考いただければ幸いです。
なお、本記事でご紹介する集計データは、公表情報をトレンドマイクロが独自に整理、集計したものです。

2024年1月1日~2024年3月25日の期間に国内法人組織より公表されたセキュリティインシデントの総数は84件で、過去3四半期とほぼ同等の規模でした。週平均は7件で毎日1件はどこかの組織が被害を公表している状況です。

図：国内組織におけるセキュリティインシデント公表件数の推移 2023年第2四半期～2024年第1四半期

また、ランサムウェア被害の公表件数は13件で2023年7～9月規模の被害件数となりました。

図：国内組織におけるランサムウェア被害公表件数の推移 2023年第2四半期～2024年第1四半期

こちらは2023年10～12月と比較すると減少傾向にありますが、依然として週に1度以上のペースでランサムウェア被害が報告されているのが現状です。

ランサムウェアは、件数こそ過去に比べ少なかったものの、レジャー商品の小売業者において20万件の情報漏洩の可能性を残した事例や、医療機関における30TByte以上のデータ暗号化事案など、その脅威が決して衰えることなく様々な被害をもたらしていることに注意が必要です。
なお、1月時点では2024年2月に一度はテイクダウンされたLockbitによる被害も確認されていました。

アカウントの乗っ取りやサポート詐欺による被害が増加傾向

過去と比較して今四半期に最も増加傾向にあったサイバー攻撃は「不正ログイン」と「サポート詐欺」でした。
まず、不正ログインは過去1年で最大の被害件数となりました。

図：国内組織における不正ログイン被害公表件数の推移 2023年第2四半期～2024年第1四半期

図からも明らかな通り、2023年10～12月期の3倍以上の被害件数が確認されています。

DX化・クラウド化に伴い、現在組織としても個人としても数多くのメールやクラウドサービスの”アカウント”を運用していることは読者の皆様も日々実感しているところでしょう。膨大な量のアカウントを組織や個人が管理しきれておらず、認証を突破されたケースが増え、結果としてこちらの数値が増加した可能性があります。

他方、あくまで公表された事例のみを集計していることから、アカウントの侵害頻度自体は変わらなくとも、アカウント侵害の被害を一般に公表する必要に迫られる企業が多くなっているともとれます。これはつまりSNSやクラウドアカウントへの各社の業務依存度が以前よりも高まった結果、公表数も連動して増加していると推測できます。

不正ログインの内、最も被害を受けていたのはSNSアカウントです。トレンドマイクロが確認した範囲では、主にX, Facebook, Instagram(稀にYoutubeなど)といったサービスにおいて、企業・組織の公式SNSアカウントが乗っ取られてしまい、不正な書き込みが行われた、または不審なDMが送付された、といった報告がされているものが多くみられました。
SNSアカウント自体には、基本的に公表情報が記載されるため、そのアカウントを取得されるだけでは、組織の機密情報にはアクセスできないケースもあると考えられます。しかし、被害組織になりすますことにより、関連組織や顧客に対して被害を二次的に拡大させていく可能性があるという点で、組織としても軽視できない脅威の1つとなっていると言えます。

他にもメールアカウントの乗っ取りから、スパムメールの踏み台に使用されるケースや、クラウド環境のログインを突破され情報が窃取されるケース、さらには顧客向けに展開しているショッピングサイトにおいてユーザのログイン情報を悪用し不正購入を行ったケースなどが確認されました。

もちろんこれらの被害は目新しい物ではなく、以前からもこうした事案は報告されていましたが、これらの件数がこの2024年第1四半期の大きく増加したことは注意しておく必要があるでしょう。

参考記事：警察庁の2023年サイバー犯罪レポートを読む～法人として備えるべきポイント～

組織や企業は、様々なシステムのクラウド化によってオンライン環境でさえあれば、いつでもどこでも必要な情報や機能にアクセスできるようになりました。しかし、クラウドサービスはそのセキュリティ機能をアカウント認証機構に頼る部分が大きく、サイバーリスクを抑える為に組織は業務上使用する膨大なアカウント適切な管理の必要性に迫られていると言えます。

不正ログインと同様にサポート詐欺による被害も増加傾向にあります。

図：国内組織におけるサポート詐欺被害公表件数の推移 2022年～2024年第1四半期

「サポート詐欺」に関しては「不正ログイン」ほど四半期ごとの件数が大きく増加しているわけではないものの、2022年には被害が確認されていなかった、また同様に2023年上半期は2件しか被害がなかったことに注意が必要です。これはつまり、「サポート詐欺」は2023年下半期よりその脅威が法人組織においても本格化してきており、現在も攻撃が続いている、または増加している可能性があることを示しています。

サポート詐欺は、その具体的な手法に関して過去の記事でも紹介していますが、「ウイルスに感染した」などの警告画面を表示し、利用者に指定した番号の電話をかけさせ、テクニカルサポートを装ってPCを遠隔操作し、「サポート料金」などの名目で金銭を要求します。

図：トレンドマイクロのサポート窓口におけるサポート詐欺関連のお問い合わせ総数と法人組織からの件数

上図の通り、トレンドマイクロのサポート窓口に寄せられたサポート詐欺関連のお問い合わせの内、法人組織からのものの比率を考えれば、サポート詐欺の被害はまだまだ個人が中心であると言えます。
しかし、複数の事例が発生し、件数も増加傾向にあることからサポート詐欺を行うサイバー犯罪者は、特にその対象を個人や法人に絞って行っているわけではないと考えられます。
攻撃者側のターゲットが個人であっても法人であっても、情報漏洩や金銭窃取などの影響があることを鑑みると、組織はリスクに対応する必要に迫られます。実際に、2023年12月には長野県の会社で1700万規模の被害がでたことも報告されています。

なお、2023年下半期からのサポート詐欺の被害を受けた業種をさらに分類した場合、下のような内訳となりました。

図：サポート詐欺の被害を受けた組織の業種内訳（2023年7月～2024年3月, N=15）

その被害の多くは学校や教育委員会などの教育機関、市区町村の役場、病院等で発生していました。これらの組織に所属する読者の方はより一層の注意が必要です。また組織のセキュリティ管理者は、サポート詐欺が法人組織に対しても発生しうる脅威であるということを認識の上、その存在を組織内に周知しておくことがまずは重要と言えるでしょう。

最も優先すべき対策はアカウントの管理

トレンドマイクロの集計においては、インシデントの発生原因まで言及されている場合には、その原因をいくつか分類し、合わせて集計しています。2024年第1四半期におけるインシデントの発生原因のTOP3は下記となります。

	インシデントの発生原因	件数
1	アカウント認証突破	22
2	脆弱性の悪用	10
3	設定ミス	3

前章において「不正ログイン」を取り上げた通り、今四半期において最もインシデントの発生原因となった手口は「アカウントの認証突破」でした。
その具体的な手法としては、アカウントリスト攻撃やブルートフォース攻撃などが推測されている事例もあるものの、実際のところは不明なものが多いです。
アクセスブローカーなど、攻撃者が他者より取得した認証情報である可能性も考えられますが、本稿中盤でも述べた通り重要なことは、クラウド環境が整ってきたことにより、攻撃者がログイン情報を取得するだけで様々な攻撃が成立してしまう状況となっていることを正しく認識することです。
つまりは、ログイン情報・アカウント情報を管理することの重要性がこれまでにも増して高まっているということです。

過去にトレンドマイクロが対応した事例をまとめたホワイトペーパーでも紹介している通り、アカウント情報の管理においても基本的なセキュリティ対策は十分有効です。
パスワードの使いまわしをしない、複雑性を向上する（一定の文字数以上かつ英大文字または英小文字、記号、数字の3種類を使用するなど）、定期的にパスワードを更新するといった対策がこれにあたります。

その上で、より安全性を高める為には多要素認証(MFA)機構の導入などが考えられます。攻撃者が認証情報を窃取できても、別途ユーザの生体情報がなければログインできない、などといった制約によって、攻撃者の乗り越えるべきハードルはより一層高くなります。

しかし前述の通り組織で運用するアカウントの量は膨大であり、こうした対策や技術の導入が追い付かない可能性があります。そうした場合によりリスクを抑える為の技術としてAttack Surface Risk Management(ASRM)の技術があります。ASRMは自社で持つ膨大なアカウントを含めたデジタル資産の状態を把握することで、異常な挙動（海外からアクセスしている、深夜にログインしている、異常な頻度でログイン試行が行われている）をリスク値として可視化します。これによりセキュリティチームは自組織が抱える膨大なアカウントの中から、なりすまし等により侵害されているリスクのあるアカウントの早期発見が可能となります。

どんな組織も限られた予算の中で、複数のセキュリティ対策から優先すべきものを選定し組織のリスク低減に努めています。本稿で紹介した公表事例の傾向がよりよいセキュリティの意思決定に繋がれば幸いです。