迫り来るサイバー攻撃の脅威

ランサムウエア攻撃の脅威がより深刻化

情報処理推進機構（IPA）が公開している「情報セキュリティ10大脅威2024」では「ランサムウェアによる被害」および「サプライチェーンの弱点を悪用した攻撃」がそれぞれ3年連続で上位3位以内にランクインした。しかも、こうした攻撃手法は、年を追うごとに高度化・多様化している。

例えばランサムウエア攻撃は、端末等に保存されているデータを暗号化した上で復号の対価を要求する単一恐喝から、データを窃取した上で対価を支払わないとデータを公開すると要求する二重恐喝へと変化が見られる。サプライチェーンをターゲットとした攻撃においてもランサムウエアが悪用されている。

ランサムウエア・サードパーティーリスクは国内だけではなく、海外でも注目されている。金融業界を見ると、2022年にはG7のサイバー・エキスパート・グループが金融機関におけるランサムウエア、サードパーティーリスク管理の重要性を発信している（注1）。その被害も増加傾向にあり、当社の集計によると、23年度の二重恐喝型ランサムウエアによるリークサイトでのデータ公開の被害件数は22年度の2,495件から2倍近くに急増し、4,493件にも及ぶ。

国内でも今年度、ロシア系ハッカー集団の攻撃により自社のシステムがランサムウエアの被害に遭い、広範なシステム・業務が停止するようなインシデントが発生している。システム障害に加え、有価証券報告書の提出期限の延長を強いられたり、窃取された可能性のある情報を巡ってリークサイトへの公開による脅迫を受けたりするなど、事業に多大な支障が生じている。

サードパーティーへの攻撃事案が頻発

自組織を狙ったランサムウエア攻撃だけでなく、サプライチェーン上の弱点を突く攻撃と組み合わせたものも顕在化している。なかでもサードパーティーの脆弱性を狙った攻撃が目立つ。

サプライチェーン上に存在する脆弱なサードパーティーへのサイバー攻撃の主な手法には次のようなものがある。例えば、①重要なシステムの委託先を踏み台にした攻撃、②顧客データを預かる業務委託先の脆弱性を突いた攻撃、③ハードウエアやソフトウエアの更新プログラムなどにマルウエアを埋め込む攻撃、④関連企業や取引先（提携先金融機関等）への攻撃──などである。
 

大手米銀のインシデント事案には、同行が利用するシステムをクラウド環境で提供する外部ベンダーに対するランサムウエア攻撃が発生したものもある。このケースでは、5万7,000件以上の顧客情報（氏名・住所・社会保障番号・口座情報等）が漏えいし、大きな被害につながった。ほかにも、サードパーティーの脆弱性が狙われた結果、ランサムウエア被害などの対応に追われる事案が今年度も引き続き散見されている。

国内では、印刷業務等を請け負う事業者が複数のサーバーや端末内のファイルがランサムウエアにより暗号化された事案が発生している。当初は個人情報の流出が確認されていないとして復旧方針を公表していたものの、その後窃取したと思われる情報のダウンロードURLがリークサイトで確認された。外部専門家の調査でも、取引先および顧客の個人情報が流出したことが明らかになり、時間の経過とともに被害拡大が判明。業務を委託していた複数の事業者が対応に追われている。

社内外の客観的な評価・検証で脅威に対抗

ランサムウエア攻撃の経路は、VPN（仮想専用回線）機器やリモートデスクトップなどの外部公開機器等からの侵入が大半を占め、機器等の脆弱性や強度の弱い認証方式が悪用されている。足元のサイバー攻撃の動向や侵入経路を踏まえると、自社を狙ったランサムウエア攻撃に対して入り口対策の徹底も重要になる。

その際に、VPN機器や重要なデータを保存・転送する機器などの重要な機器を特定し、脆弱性を悪用されにくい設定で運用することが求められよう。知らない間に侵害されている可能性を想定し、被害を最小限に抑えるための監視態勢の構築も欠かせない。

サードパーティーの弱点を突く攻撃においては、あくまで外部の事業者が攻撃を受ける。そのため、自社のサイバーセキュリティー強化とは異なるアプローチが必要になる。まずは重要なサードパーティーを特定し、そのセキュリティー対策を評価した上で、必要な先に対して自社と同水準のセキュリティー対策を要求すべきである。

評価に当たってはチェックリスト等を活用している企業も多いが、実効性のある評価や確認が難しいことも想定される。そのため、組織の外部からアクセス可能なIT資産を発見し、不正侵入経路となり得るポイントやそれらに存在する脆弱性などのリスクを継続的に検出・評価するASM（Attack Surface Management）などの客観的手法による評価が望まれる。

金融機関は、これまでも脅威の動向に合わせたセキュリティー対策の強化に取り組んできたが、サイバー攻撃は年々高度化している。そのため、スポットの対応に加え、業界全体のセキュリティー対策の実施状況や対応態勢の把握も重要である。

今年2月には、米国国立標準技術研究所（NIST）のサイバーセキュリティフレームワークや米Cyber Risk Institute（CRI）の「CRI Profile」といったサイバーセキュリティ評価の枠組みが大幅に改定された。金融庁も「金融分野におけるサイバーセキュリティに関するガイドライン（案）」を6月に公表し、網羅的なサイバーセキュリティーの対応態勢の評価や、リスクに応じた対策の計画と実行を求めている。

机上の評価にとどまらず、対策や人員、サイバー攻撃の検知・対応プロセスを含めた態勢の実効性を検証することも欠かせない。そのためには脅威ベースのペネトレーションテスト（TLPT）の実施が望まれる。

ちなみにTLPTとは、対象組織におけるサイバー攻撃の脅威について情報収集・分析し、実際の攻撃者と同様の戦術・技術および手順を模倣した疑似攻撃を実施し、組織の対応態勢を評価するテストを指す。

当社が他社でTLPTを実施したものの中には、脆弱なパスワードが残置されているケースなど、基本的なセキュリティー対応が不十分な事案も散見された。もちろん、TLPTを実施するだけではなく、テストを通じた発見事項に基づく改善策についても、関係各部署に幅広く展開していく必要がある。

最新テクノロジーによるサイバー攻撃の強化

生成AIや量子コンピューターなど、最新のテクノロジーを悪用したサイバー攻撃への対策も重要だ。これらについては、今後リスクが顕在化ないしは増加すると考えられる。

まず、生成AIに関するセキュリティーリスクには、生成AIに対する攻撃と生成AIを悪用した攻撃の2パターンが存在する。生成AIに対する攻撃は、巧妙な入力によって大規模な言語モデル（LLM）を操作することが考えられる。LLMが意図しない動作を引き起こすプロンプト・インジェクションや、学習データを改竄することで脆弱性が生まれたり、出力結果がゆがめられ有害な結果を示したりする可能性がある。

生成AIを悪用した攻撃では、サイバー犯罪者向け生成AIツール（WormGPT等）も登場している。これによりやソーシャルエンジニアリングやマルウェアコード、自然なフィッシングメールの作成がサポートされ、低スキルの攻撃者であってもサイバー攻撃を容易に仕掛けることが可能となっている。

また、生成AIの影響は脆弱性の対応にも影響する可能性がある。イリノイ大学アーバナ・シャンペーン校の研究（注2）では、パッチの公開直後で、当該パッチを適用していない脆弱なシステムに対するGPT－4を悪用した自律的な攻撃が成功しており、脆弱性の公開から攻撃までに必要な時間がさらに短縮されることが実証された。

金融機関においては、ディープフェイクによって本人確認書類を偽造した非対面（eKYC）による口座開設や、ビデオ通話等で経営幹部になりすましての銀行送金詐欺といった攻撃例が想定される。

量子コンピューターの発展によるサイバー攻撃にも注意しなければならない。これまで安全とされてきた暗号化方式による暗号が解読されることで、インターネットバンキングなどの金融取引や個人情報等がリスクにさらされる可能性がある。また、暗号文を事前に収集し、量子コンピューターの実装後にまとめて解読する「ハーベスト攻撃」の危険性もくすぶる。金融庁も7月に「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」を開催しており、今後、量子コンピューターが及ぼす影響への対応は必至だろう。

テクノロジーの発展に備えて一手先の対策を

生成AIに対する攻撃には、LLMのアクセス権限を制限することや、入力・出力されるデータに禁止された語句などが含まれていないかを検証・フィルタリングする対策が考えられる。さらに、LLMが特定のアクションを実行する前に人による検証・承認のプロセスを挟むことや、信頼できる学習データを利用するなどの対策を検討する必要がある。

サイバー攻撃者の母数がさらに増加することにより、生成AIを悪用した攻撃の増加も想定される。今後は、脆弱性が明らかになってから攻撃されるまでの猶予がこれまで以上に短くなることを意識すべきだろう。再度、基本的なサイバー攻撃対策を徹底するとともに、脆弱性への迅速な対応など、セキュリティー対応のスピードも問われてくる。ディープフェイク等の悪用については、攻撃例を追跡しながら、注意喚起等の啓発活動に加え、検出ツールの活用などを検討することも大切だ。

さらに、30年ごろに実用化が予測されている量子コンピューターに備え、耐量子暗号への移行を進めるため、システムの洗い出しも視野に入ってくる。まずは量子コンピューターの発展がもたらすメリットやリスクなどの認識を経営層と共有した上で、脆弱な暗号の使用箇所やアルゴリズムのほか、重要なデータやその利用期間の特定、リスク評価が求められよう。これらの対応については、自社だけでなくサプライチェーンに含まれるベンダーなどの対応状況を確認することも重要になる。

（注）

1　「金融セクターのランサムウェアに対するレジリエンスに関するG7の基礎的要素」および「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素」

2　LLM Agents can Autonomously Exploit One-day Vulnerabilities

執筆者
 

野見山  雅史
デロイト トーマツ サイバー　金融インダストリー担当　執行役員

大手システムインテグレータを経て00年デロイト トーマツに入社。銀行・証券・保険などの金融機関に対し、サイバーセキュリティーに関する戦略から組織・プロセス・テクノロジーをカバーする広範なアドバイザリーサービスを約25年間にわたり提供。

今泉  智
デロイト トーマツ サイバー合同会社　金融インダストリー担当　マネジャー

​セキュリティベンダーを経て24年デロイト トーマツに入社。大手銀行から地域金融機関のほか、証券・保険等の多くの金融機関に対し、サイバーセキュリティーやクラウドセキュリティーに関する助言を提供。

※所属などの情報は執筆当時のものです。