金融業界におけるサイバー脅威とその対応

＜金融業界のサイバー攻撃の現状＞

どの業界にも影響があるサイバー犯罪の猛威は金融業界も例外ではない。数年前からランサムウェア攻撃は全世界で頻発している。2022年1月にはContiランサムウェアによりインドネシア中央銀行が甚大な被害を受けている。Emotetというメール・スパムウェアの活動が2022年以降から急速に活発化している。近年の金融機関のセキュリティインシデントはその他にも、内部の関係者によるインサイダー情報の漏洩、サプライチェーンへの攻撃により1企業に留まらず複数企業に及ぶ被害の拡大、それを経由して他の企業が攻撃を受ける事案が多く発生している。さらに不十分なセキュリティ設定であれば、クラウド経由で外部から簡単に侵入され情報を持ち出されることもある。

＜脆弱性の発見と攻撃の加速化＞

こうした近年の動向を受け、FS-ISAC（Financial Services Information Sharing and Analysis Center）のCEOは2022年の脅威動向予測で、サードパーティの攻撃、ゼロデイ脆弱性エクスプロイト、ランサムウェアの3つを挙げている。ただし、世に広がっていない脆弱性が0日で広がることは現実にはありえないので、ニアゼロデイと解釈する方が現実に即している。3つの中でも深刻な脆弱性は年々増加傾向にある。2022年は珍しく減少傾向にあったが、今年は増加傾向にあり高止まりしている状況にある。その中でもCriticalやHighのような攻撃行動が実際に存在するような脆弱性のパーセンテージが高い。

攻撃者は注目のゼロデイをすばやく利用する。脆弱性の悪用までの時間が短くなっている。パロアルトが認証バイアスの脆弱性に対する脅威防御シグネチャをリリースした際は、わずか10時間で2,552回トリガーされた。攻撃者はCVEの公開から15分以内に脆弱性のスキャンを開始することが判明している。販売が終了したアパッチWebサーバーを実行している組織は32％にも及んでいるが、当然ながら脆弱性が存在するものであり、それを使い続けるのは非常に危険な行為である。

ニアゼロデイが攻撃される状況から、インターネットに露出している脆弱なシステムを特定できるテクノロジーであるASM（攻撃対象領域管理）に注目が集まっている。ASMは攻撃者と同じ目線で脆弱性の発見が行えて、管理者に通知することができる。

＜現在のランサムウェアの特徴＞

現在のランサムウェアの特徴は3つある。1つ目は、脆弱な認証情報を利用することだ。攻撃者は直接認証情報を盗み出すのではなく、既に盗み出されている認証情報をダークマーケットから購入し、脆弱性のあるデバイスへプロトコルを使ってアクセスする。RDP（リモートデスクトッププロトコル）の認証情報はダークウェブで安価で売買されており、攻撃者が手を出しやすい環境になっている。

2つ目はサプライチェーンを標的にしている所である。かつては資金が豊富な企業をターゲットにしてきたが、資金がある組織はコストをかけてセキュリティ対策を行えるため、サイバー攻撃が難しくなった。資金力のないサプライチェーンに攻撃を行ったうえで、資本のある企業にダメージを与えることが多くなった。

3つ目は2重、3重の脅迫が増加していることだ。まずデータを暗号化し、復旧させるために身代金を要求する。身代金が支払われないと、ハッカーは機密情報を公開する。またはターゲットのサイトを停止させるDDoS攻撃を行う。ターゲットの顧客、ビジネスパートナーなどの関係者にサイバー攻撃を知らせるハラスメントなども行い、1回の攻撃でターゲットを何重にも苦しめている。

大阪急性期・総合医療センターのインシデントは、これまで紹介した近年のサイバー攻撃の要素を全て網羅している。ランサムウェアの攻撃により、緊急以外の手術や外来診療が停止されることになった。センターと接続する給食委託業者のサーバーを通じてシステムに侵入したと見られている。委託業者は2021年にサイバー攻撃を受けた徳島県の町立病院と同じVPNを利用しており、旧式のソフトウェアの脆弱性を突かれたようだ。

現在のランサムウェアの最近の傾向を掴むために代表的なランサムウェアを2つ紹介したい。まず1つ目はTrigonaランサムウェアで、2022年10月に発見された比較的新しい系統である。製造、金融、建設、農業、マーケティングなど幅広い業種でばらまかれた。Trigonaは攻撃対象の組織の情報を抜き取って暗号化し人質として金銭を要求するだけでなく、抜き出した情報をリークサイトで販売している。CryLockランサムウェアと戦術、技術、手順(TTP)が非常に似ており、CryLockから派生したのではないかと見なされている。リモートアクセスツールのSplashtopを使い、マルウェアを標的に転送していた。またUPXでパッキングされ、機械学習モデルを使った静的検知が通用しないマルウェアだった。

2つ目はContiランサムウェアで、ITの停止が人命に関わるような事態を引き起こす。病院、警察への緊急通報を担う通信キャリアや救急医療サービスや、法執行機関などの組織を攻撃してきた。アイルランドで2022年5月に発生した攻撃では国の医療システムのITネットワーク全体が停止する事態まで発生した。

Contiの特徴は身代金の要求額が非常に大きいこともさることながら、身代金を受け取りながら、被害者にファイルを返していないケースが多い。最悪、身代金を支払えば復旧できるケースが多かったが、従来の常識が通じないサイバー攻撃が増えてきた。RaaS（サービスとしてのランサムウェア）エコシステムが利用されており、システムに関する知識がなくても攻撃ができるようになっている。

かつては優秀なクラッカーが攻撃ツールを開発し、クラッカー自身が攻撃者になっていたが、今は開発者がダークマーケットから売るだけで、購入者が攻撃者になるという流れが確立している。ホワイトハッカー集団ユニット42のレポートによると、2022年からContiによる二重恐喝が倍増し、とくにデータを抜き出しリークサイトに流すと公開する量が目立つ。

＜国内のセキュリティソリューション導入状況＞

こういった背景もあり日本では金融業界だけでなく様々な業界でセキュリティソリューションが導入されている。22年には、ネットワークに接続されたデバイスの操作や動作の監視を行い、サイバー攻撃を発見し対処するEDR（Endpoint Detection and Response）が1位となった。

従業員規模が大きい企業ほど事業をグローバルに展開しているため、DXが進みアタックサーフェス(攻撃対象領域)も広がっている。サプライチェーン全体で攻撃対象領域を管理する必要がある。そのためにセキュリティソリューションが導入されたと考えられる。

金融庁でも「デジタライゼーションの加速的な進展にともなうサイバーセキュリティリスク対応」を進めており、サイバーセキュリティ強化のアップデートの取り組みが行われている。「モニタリング・演習を高度化する」「新たなシステムの導入にはセキュリティありきで設計する」「セキュリティ対策を組織全体で取り組む」「セキュリティ人材の育成」などの指針が打ち出されている。

＜深刻なセキュリティ人材不足＞

セキュリティ人材の不足は日本のみならず世界的な課題だ。しかし日本のデジタルスキルは64ヵ国中の62位、サイバーセキュリティに関しては44位と惨憺たる結果である。サイバーセキュリティの競争力では世界から遅れていると言わざるを得ない。

企業は様々なサイバーリスクに対応するためにセキュリティツールを導入しており、それに伴い増加するのがアラート数だが、アラートが増えすぎてとても対応仕切れていないのが現状である。結果的に25〜30％のアラートを無視するという結果になっている。

多くのセキュリティチームは工数が多すぎてアラートに追随できなくなっている。多すぎるノイズアラート疲れ。1つのインシデント調査に複数のセキュリティ製品が必要になり、複数製品のスキルの獲得が欠かせない。また決まったプロセスを手作業で反復しないといけないため、時間ロスや技術者のモチベーションの低下に繋がっている。

IT分野のサポートを行うGartner社は、「セキュリティ運用においてはバラバラに製品を取り扱うのではなく、統合されたプラットフォームを採用するべき」というレポートを発表している。インテグレーションがしやすい、あるいは既にインテグレーションがされているソリューションを活用して、管理コストを最小限に抑えることを推奨している。

現在では29％の組織がセキュリティソリューションの統合に取り組んでおり、51％の組織が2、3年のうちに取り組みを開始すると言われている。セキュリティベンダーは今後、ポートフォリオ型からプラットフォーム型に移行すると結論づけている。プラットフォーム型は製品が統合され、コンソールも統一され扱いやすく、運用が簡素化できる。統合されたセキュリティプラットフォームが今後活用されていくだろう。

◆講演企業情報
パロアルトネットワークス株式会社：https://www.paloaltonetworks.jp/