2021年の目立った情報セキュリティ関連ニュースをまとめて、2022年の情報セキュリティの脅威予想してみました。
2021年も残すところあと少しになりました。2021年も新型コロナウイルスに始まり、無観客の東京オリンピックが開催され、windows11が発表され、と多くの出来事が起こりました。
情報セキュリティ関連でも多くの事が起こりました。そこで、2021年の情報セキュリティ関連で目立ったニュースをまとめて2022年情報セキュリティがどのようになっていくのかを予想していきたいと思います。
ちなみに2021年1月に2021年の情報セキュリティの脅威予想をしています。果たして予想は当たっていたのか?はたまた、予想もしなかった脅威が存在したのか?こちらも確認しながら読んでいただけたら楽しんでいただけるのではないでしょうか。
※【現役ハッカーが語る】2021年の情報セキュリティの脅威予想 〜新たな時代の対策を考える〜
2021年のキーワードは「ゼロトラスト」
2021年は2020年から続く新型コロナウイルスの影響でリモートで仕事・生活の大半を送られたのではないでしょうか。
2020年はとりあえずリモートワークの環境を整えることを目標にされ、2021年は急ピッチで導入が進んだリモート環境周辺の情報セキュリティ対策の構築を行う・考えることが多くなったように思えます。
そこで、2021年多くのメディアやセミナー、研修の場で耳に、目にしたキーワードが「ゼロトラスト」です。このキーワードは2021年だけでなく、今後の情報セキュリティ対策の主流になっていくのではないでしょうか。
そこで2022年の予想されるキーワードは「人的脅威への対応」ではないでしょうか。その理由は、「ゼロトラスト」が関係してきます。「ゼロトラスト」を簡単に言うのであれば「すべて信頼せず、すべて検証する。」です。しかし、ゼロトラストを行えば「人を信頼しなければいけない」という矛盾が生まれてきてしまいます。そのため、内部犯行の抑止や詐欺にかかりやすい人間が脆弱性になりうるという「人的脅威」が浮き彫りになってしまうのです。
これから2022年だけではなく長い目で情報セキュリティ対策を考えるのであれば、システムだけの対策から脱却し「システムと人で対策を行う」ハイブリッドな対策に移行していかなければいけないと考えます。
2021年の情報セキュリティ関連ニュースを振り返る
2021年もあと少しになりました。今年も多くの情報セキュリティに関連したニュースがありました。その中でも特に気になったニュース、話題になったニュースを振り返り2021年の情報セキュリティはどのような年であったかを見ていきましょう。
①Emotetのテイクダウン及び活動再開
2019年から2020年にかけて猛威を振るったマルウェア「Emotet」が2021年1月に欧米各国の警察機構の捜査によりテイクダウンされました。
まずは簡単に「Emotet」についておさらいしておきましょう。
Emotetとは
「Emotet」とは主にメールの添付ファイルを利用して感染を拡大させるマルウェアになります。実際に過去にやり取りをしたことのあるメールアドレス・内容を利用してメールを送信して添付ファイルの開封を誘う巧妙なマルウェアです。このマルウェアに感染することによって①メール、ブラウザに保存されているパスワードの窃取、メール本文・内容の窃取、②同ネットワークへの感染拡大(ラテラルムーブメント)、③ほかのマルウェアの感染・不正アクセスの侵入口になる可能性、④Emotetの感染拡大に加担などの被害が発生します。日本国内だけで約3万件の感染が確認されており感染力の高さに驚愕しました。
Emotetのテイクダウン
2021年1月17日に欧州警察機構であるユーロポールはEmotetが利用するインフラ基盤を捜査官が制御下に置いたことを発表しました。インフラ基盤を制御下に置くことによってEmotetの感染活動を停止することに成功しました。また、捜査に参加していたウクライナ当局の発表によると基盤を管理していた2名を逮捕しており、ほかの関係者も高速される可能性が高いです。このオペレーションにはオランダ、ドイツ、フランス、リトアニア、カナダ、アメリカ、イギリス、ウクライナの8か国が参加しており、「LADYBIRD」と呼称されており、オランダ当局の発表ではマークも掲示されていました。
Emotetの活動再開
2021年11月14日ごろよりEmotetの活動が再開したとの報告が入ってきました。約10か月での復活です。
Emotetを拡散させるマルウェア、Emotet本体、遠隔用C&Cサーバーの存在が確認されています。今回の活動再開はまだ初期段階であり、Emotetネットワークの再構築が始まったに過ぎません。そのため2022年以降、再度感染が広がる可能性が高まっています。また、今回は日本を明確に標的としている動きも確認されているため、前回より一層注意が必要です。
②内部不正に起因する情報漏えい
2021年だけでなく毎年多くの内部不正が発生しています。しかし、テレワークという労働環境のせいなのか規模が多きものが目立ったように思います。そして「ゼロトラスト」という情報セキュリティ体制では内部不正という事例は防ぐことが難しいため今後さらに企業・組織による管理体制の見直し・システムだけに頼らない情報セキュリティ対策の構築が必要でしょう。
※内部不正に関連した記事
・元ソフトバンク社員の機密情報持ち出しから考える内部不正対策 【意外と多い内部不正による情報流出】
・他人事じゃない!!三井住友銀行(SMBC)のソースコード流出から考える情報モラルや社内の規則の大切さ!
元ソフトバンク従業員の機密情報の不正持ち出し
2021年1月12日に元ソフトバンク従業員が「不正競争防止法違反」で逮捕されました。逮捕理由は退職申告後にソフトバンク社の営業秘密を不正に持ち出した容疑です。驚くことに持ち出した情報は5G関連の技術情報であり転職先は楽天モバイルだったのです。
逮捕された男はソフトバンク在籍時には携帯電話基地局の設置工事業務などに従事し、楽天モバイル側から容疑者に対してスムーズな転職条件として営業秘密の不正持ち出しの支持があり計画的に営業秘密の持ち出しが行われたとされています。
容疑者の自宅、楽天モバイルから押収したPCを解析し、約170のファイルを30回にわたり持ち出されて痕跡が確認されています。
退職当日に容疑者の自宅からソフトバンク社のテレワーク用のシステムを通じてクラウドサービスに接続。営業秘密を含むファイルを自分のフリーメールアドレス宛に添付し送信を行い情報の持ち出しを行っている。つまり退職前に集中的に特定の情報を収集しており計画的である言わざる負えません。
今回の事件のソフトバンク社の問題点としては「退職者の管理不備」ではないでしょうか。従業員との秘密保持契約書(NDA)を入社時に締結する組織・企業は多いと思います。もちろん、ソフトバンク社も容疑者と秘密保持契約書は結んでいたようです。しかし、秘密保持契約はどこまで行っても性善説にたった対応でしかありません。
その他にも
- 退職日までサーバーにアクセスが可能であること
- メールでデータを外部に持ち出すことが出来ること
- 自宅PCからアクセスすることが出来ること
- 退職申請したにもファイルのパスワードが変更されていなかったこと
- 適切なログ管理がなされていないこと
など多くの問題点が存在しています。
いずれの問題点も秘密保持契約を結んでいるという事で完全に油断していたと言わざるおえないでしょう。
国立病院機構の職員によるPCの持ち出し
2021年4月に国立病院機構姫路医療センターにおいて、患者情報約14万人分の個人情報が保存されたパソコンが持ち出され、インターネットオークションに出品されていたことが発覚しました。
2018年に同機構の事務職の職員が業務用のノートパソコンを無断で自宅で仕事をするために持ち出していました。問題の端末内部には約14万件の個人情報が保存されており、このうち約12万件は、名前や最終来院日など保存した紙カルテの保存一覧であり、非常にセンシティブな情報になっていました。
また、驚くことにこの不正持ち出し問題の発覚の理由が2020年3月ごろに同機構へ外部からの連絡であり、この連絡内容が「同機構のノートパソコンとみられるものがネットオークションに出品されているという内容でした。
なお、この問題において情報の流出や不正アクセスへの利用は確認されていませんが、一歩間違えれば大惨事になる事例であり、組織の端末管理のずさんさが見て取れます。
村田製作所の再委託先従業員による社内情報の外部クラウドサービスへの無断アップロード
2021年8月5日に村田製作所は再委託先企業の従業員が取引先情報や個人情報などを含むデータを無許可でダウンロードした上、外部のクラウドサービスへアップロードを行っていたとして不適切な取り扱いの発生を公表しました。
不適切な取り扱いを行ったのは再委託先であるIBM中国法人のIBM Dalian Global Delivery Co., Ltd.(以後IBM DGD社と表記)で現地採用されたエンジニアであり、村田製作所は業務効率化として進めている会計システムの移行プロジェクトを日本IBMへ業務委託をしており、日本IBMからIBM DGD社へ再委託が行われていました。
無許可でダウンロードされたプロジェクト管理データには72,460件の取引先情報、従業員関連情報が含まれており、対象となる国は複数で対象国ごとに情報が異なっています。日本、中国、フィリピン、マレーシア、シンガポール、米国、EUが対象国・地域で、この内シンガポールは取引先情報のみ、顧客情報の対象となるのは中国とフィリピンのみと村田製作所は説明しています。
③アメリカで発生した重要インフラに対する攻撃
2021年アメリカでは国民の生活にかかわる重要インフラに対するサイバー攻撃が相次いで発生しました。
日本においても「重要インフラ分野」として、「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス(地方公共団体を含む)」、「医療」、「水道」、「物流」、「化学」、「クレジット」及び「石油」の14分野を特定しており、情報・サイバーセキュリティ体制の構築が急務とされています。
※NISC:ランサムウエアによるサイバー攻撃に関する注意喚起について
アメリカ・フロリダ州で発生した浄水システムに対するサイバー攻撃
2021年2月5日に米フロリダ州タンパ近郊オールズマー市の浄水システムに対し、何者かがリモートから不正に操作を行い、システムで添加制御が行われていた水酸化ナトリウムの量を危険な水準に引き上げる行為が一時行われました。
システムに対して2回の不正な操作が行われ、2回目の不正な操作において排水管洗浄に用いられる水酸化ナトリウムの設定値が100ppmから11100ppmに変更されました。この111倍の水酸化ナトリウムを摂取してしまうと人体に多大な影響を及ぼす数値になっています。水酸化ナトリウム中毒に陥ると呼吸困難や視力低下、肺の炎症といった健康障害が発生するとされており非常に危険な設定に変更されてたことになります。
幸いにもシステムのオペレーターがすぐに異常な数値に気づき設定値を正常値に戻すことが出来、最悪の事態を回避することができました。
アメリカ石油パイプライン企業に対するサイバー攻撃
2021年5月7日にアメリカの石油パイプライン企業Colonial Pipelineがランサムウェアの被害にあい、業務全体を一時停止する事態に陥りました。この石油パイプライン企業ではアメリカ南東から北東にかけ約8850kmのパイプラインを運営しており、ガソリン、ディーゼル、ジェット燃料など1日に250万バレル(米東海岸で消費される半分近くのシェア 約45%)を輸送しています。
わずか2時間という短期間で社内情報約100GBが窃取されてました。その情報の中に第三者がパイプラインに対する攻撃を可能にするような情報が含まれている可能性があるとして予防措置としてパイプラインを完全に停止することを決めました。
システム及びパイプラインの安全が確認された12日17時ごろまでパイプラインの停止が続き、現地では混乱が続きました。
④拡大するランサムウェアの被害
2021年は新型コロナウイルスだけではなくランサムウェアの感染・被害も多く耳にしました。被害が軽度な事例も含めると1ヶ月で2~3件ほどにも及ぶのではないでしょうか。また、旧来のランサムウェアだけではなく新たな手口を用いるランサムウェアの拡大やリモートワークを狙ったリモートデスクトップの脆弱性や利用したランサムウェアやサプライチェーンと組み合わせた攻撃など多くの派生形・攻撃手法が猛威を振るいました。
このランサムウェアの被害は国内だけでなく全世界で起こっています。アメリカ軍のサイバー部隊では12月5日ごろよりランサムウェアを操るサイバー犯罪集団に対して攻撃を行っているとの報道も出てきました。それだけ「ランサムウェア」というヴァーチャルウイルスの脅威が大きいということがわかります。
※ランサムウェアに関する記事
【現役ハッカーが教える情報セキュリティ入門】ランサムウェアとは??実害と対策を徹底解説!!
復興支援や地方創生事業を行う企業のランサムウェア感染
2021年3月2日に復興支援や地方創生事業などを行うランドブレイン株式会社のサーバーがランサムウェア感染したことが報告されました。それに伴い、情報が流出した可能性も出ました。
復興支援や地方創生事業を行っていることもあり旭川市・岸和田市・茨木市・千葉県芝山町など多くの自治体の情報も流出した可能性も出てきました。また、公共事業を委託していた総務省の3事業に関連する個人情報なども流出して可能性もあり、被害が大きくなりました。
富士フィルムでランサムウェア感染
2021年6月1日にランサムウェアに感染したことを発表しました。影響を受ける可能性があるサーバやパソコンを停止し、ネットワークを遮断しました。これら対応により、顧客からの電話やメールによる問い合わせへ対応できない障害が発生しており、関連会社の配送業務などへも影響が発生しました。
オリエントコンサルタンツでランサムウェア感染
2021年8月15日、19日の2回にわたりランサムウェアの攻撃を受けたことを発表しました。業務関連のデータを保存していたサーバーが暗号化される被害が発生しました。この企業では多くの自治体の委託業務を請け負っておりこれらの情報が漏えいした可能性も指摘されています。
サプライチェーンを利用した多組織へのランサムウェア攻撃
2021年7月2日、米フロリダ州のIT企業のKaseyaは同社のRMM(リモート監視・管理)製品である「Kaseya VSA」をオンプレミスで利用している顧客に対してサイバー攻撃が発生していると公表しました。同製品を運用する顧客の多くはMSP事業者で、MSPサービス(マネージドサービスプロバイダ」または「マネジメントサービスプロバイダ」)とは、お客様が利用しているコンピュータやネットワークなどシステムの運用・保守・監視を提供する事業者のことです。)を利用する多数の中小企業などに影響が及びました。
この攻撃ではKaseya VSAの未修正の脆弱性が悪用され、VSAのシステム管理対象の端末に対してランサムウエアに感染するPowerShellスクリプトが配られ実行されたとされています。被害は最大で1500の組織になったとされています。
また、被害が発生している国は17か国にも及び世界の広いに及んでいます。サプライチェーンとランサムウェアを組み合わせた恐ろしい攻撃事例になっています。
徳島県のつるぎ町立半田病院のランサムウェア感染
2021年10月31日に院内の電子カルテを含む電子機器・端末がランサムウェア感染し、システムを停止したと発表しました。患者情報約8万5千件が暗号化されましたが情報漏えいなどは確認されていません。しかし、一時的に新規患者の受け入れ、手術や診察の停止を余儀なくされました。
侵入経路はサーバーの遠隔保守用に用いらていたリモートデスクトップ機能の可能性が高いとされており、外部とのネットワークを完全に断ち切っていた勘違いしていたゆえの油断です。現在の病院はどこかで必ず外部ネットワークと繋がっているため完全な院内ネットワークなどありえません。
この病院では約1ヶ月病院機能が停止してしまい、多くの患者様の生活・命を危機にさらしてしまいました。また、電子カルテシステムの再構築を決定し、その費用に約2億円前後かかるという金銭的な被害も出ています。
2022年の情報セキュリティ事情を占う
これまで、2021年発生した情報セキュリティインシデントを見ていただきました。今回、確認した事例以外にも情報セキュリティインシデントは非常に多く発生しています。また、2021年12月にIPAから発表された調査によると発生したインシデントを公表している組織・企業は約4割しかいないと報告されました。つまりは、発表されていないだけ、インシデントは毎日多くの企業で発生しているという事です。
日々増加している情報セキュリティインシデント。では、2022年はどのようなインシデントが増えるのか考えていきましょう。
2022年もランサムウェアの年!?
2020年、2021年、多くのランサムウェアの攻撃・感染の報告がありました。このランサムウェアの脅威は2022年だけではなく今後数年にわたり続くと予想されます。
ランサムウェアは黄金期に突入しつつあると呼ばれ、攻撃者にとっては組織の活動を停止できるとと同時に機密情報・金銭を容易に獲得できる非常に優れたツールになっています。
ランサムウェアの脅威は企業・組織に対してだけでなく、国家、そして国民にとっても大きな脅威になりつつあります。
前述したように2021年にはアメリカで重要インフラに対するランサムウェアの攻撃、日本では病院という命に直結する施設のランサムウェアの感染。
全ての国家、国民、そして企業がランサムウェアに対して細心の注意を払い対応していかなくてはならないでしょう。
新型コロナウイルスと戦いの様にランサムウェアとの戦いも継続的に行っていきましょう。
Emotetの再来
2020年にリアルでは新型コロナウイルス、ヴァーチャルではEmotetへの感染が流行し、多くの被害を発生させました。
そして、2021年初頭に欧州警察、そして多くの捜査機関の捜査の結果テイクダウンすることに成功したEmotet。テイクダウンしたことにより完全に活動を停止し、今後この脅威にさらされる事はないと思っていました。
しかし、2021年11月にEmotetが活動を再開したとの報告がなされました。しかも、前回とは異なる変化を見せています。
いままでは、添付されていたwordなどファイルの編集機能などの権限を許可することで感染していたEmotetですが、新しいEmotetはword、Excelに加えてソフトのインストールを促し、感染するようになっています。つまりは感染のバリエーションが増えたのです。
また、送られてくるメール本文にも変化がみられます。過去に実際にやり取りを行って内容を利用するのは前回と変わっていませんが、急を要するような連絡を交え、急いで添付ファイル閲覧用のソフトをインストールさせようとしてきます。
実際のメールは非常に精巧にできており、一目見ただけでは判りません。
また、Emotetに感染すると別の多くのマルウェアの感染を誘発するように改良されています。つまりEmotetに感染してしまうと、その後ほかのマルウェアへの感染のリスクが急増するのです。
このEmotetを利用してランサムウェアの感染へと導くという攻撃スタイルが2022年増加するように思えます。
日本国内の医療機関・医療業界への攻撃の増加
これまで、多くの医療機関ではシステムが院内限定になっていることが多く、それほど技術的な脅威はありませんでした。
しかし、近年ではIt技術の成長もあり院内限定だけという医療機関はかなり減っています。院内限定と思いきや遠隔保守用に外部との通信が可能であるという事は多くあります。そして、2020年から2021年にかけてその遠隔保守用の通信経路を狙るマルウェアが増加しています。そのため、医療機関ではいつの間にか感染していた。という事例が多くなるでしょう。
また、医療機関で使用している機器の多くはバージョンが古くXPや7を利用していることが多くあります。その為、セキュリティパッチなども古く脆弱性が多く残っている状態になっており、容易に攻撃ができるようような環境になっています。
そして、攻撃者は医療に関するデータがお金になるという事を理解しています。人の命にかかわるようなセンシティブな情報を抱えており、簡単に攻撃ができる。狙わない理由はないでしょう。
そして、一番問題なのが医療機関の多くで「自分は大丈夫」「院内限定だから問題ない」と考えているという事です。ここらで大きく意識の改革を行っていかなければ攻撃者の食い物されてしまうでしょう。「病院を情報セキュリティ対策を適切に行う=患者様の命・生活を守る」という意識を持ちましょう。
まとめ
2021年多くの攻撃が発生し、多くの被害が報告されました。その原因は様々です。マルウェアの感染、不正アクセス、内部不正などありました。
IT技術、情報を扱う限りはこれらのことからは逃れることは出来ないでしょう。IT技術の恩恵を受けるための責任が発生します。そして、対策を適切に行えば発生を抑えることは可能であり、万が一発生しても被害を抑えることが可能になります。被害が拡大した=対策が不適切だったと言えるでしょう。
また、今の対策が適切だからと言ってずっと安全というわけでもありません。情報セキュリティ・サイバーセキュリティを取り巻く環境は刻一刻と変化しています。常に最新の情報を入手し、適切な対策・対応を講じていかなければいけません。
2022年はまた新しいマルウェア・攻撃手法が出てくるでしょう。日本国内では個人情報保護法が改正され施行されます。環境や法律なども変化していき常に対策を考えていかなければいけません。
そして、ゼロトラストの普及により従業員への教育・リテラシーの向上という点も行っていく必要があるでしょう。
情報セキュリティで困った事があれば株式会社クロイツまでお問い合わせいただければ幸いです。