脅威の危険度は簡単に測れない

「情報セキュリティ10大脅威」(以下、10大脅威)は IPA が識者や専門家の意見をもとに前年に問題となった主なサイバーセキュリティの脅威を重大性や危険の度合いによる順位とともに発表されていた。順位が高いほど、より危険であるという指標になり、対策や注意ポイントを絞るために役立っていた。

脅威の種類は、攻撃対象によって変わるので10大脅威は「組織」と「個人」に分けて発表されていた。個人と組織(企業など)では、守るべき対象が異なる。個人が守りたいのがスマートフォンデータならば、企業は自社のサーバーやデータベースとなる。

脅威の種類や攻撃手法によって危険の度合いは測りにくい。同じウイルス、同じ攻撃であっても実際の危険度は人、組織によって異なる。米国連邦政府などの国家安全保障やサイバーセキュリティなどの研究開発を支援する非営利団体MITREが管理している脆弱性情報(CVE)には、共通脆弱性評価システム CVSS (Common Vulnerability Scoring System)というポイント表示がある。CVSS 10.0というのが最大脅威を示すのだが、専門家はこの数値だけで実際の危険度を判断しない。その脅威が起きる頻度や、実際の攻撃対象となるかは組織のシステムや環境、セキュリティ体制に依存する。

10大脅威はどれも同じように注意すべきだ

わかりやすい例でいえば、あるアプリの重大な脆弱性が発見されたとしても、そのアプリを使っていなければ危険度はゼロといえる。CVSSは被害にあった場合のインパクト(重大性)も加味されているが、組織ごとに依存する環境、システム構成要素はそのなかに含めにくい。

IPAが、今回個人向けの10大脅威についてランキングをつけないようにしたのも、これと同様な背景が考えられる。IPAのリリースでは、個人向けの順位表示をやめたことを次のように説明している。

「順位が高い脅威から優先的に対応し、下位の脅威への対策が疎かになることを懸念してのことです。順位に関わらず自身に関係のある脅威に対して対策を行うことを期待しています。

(※赤字部分はIPAのサイトの配色と同じ)

後段部分を赤字で協調しているように、わかりやすい数値指標だけをたよりにするのではなく、状況に応じた対策が必要ということだ。この考え方は、もちろん組織・企業にとっても重要だ。企業向け10大脅威の順位表示を残したのは、企業で10大脅威や脆弱性情報(CVE)を扱うのは、原則としてセキュリティ担当者など専門家だからだ。一般化された数値指標や評価だけを自社に適用しないことは常識として求められているが、専門家ならば、それを踏まえた上での順位情報、危険度評価を扱えるという前提があるからだ。

個人向け10大脅威のポイント

以上を踏まえて、2024年の10大脅威について注目すべき点を取り上げる。

全体としていえるのは、どの脅威も10年前から大きく変わっていないことだ。9年連続の脅威が4項目。残りもここ5、6年以降変わっていないことがわかる。この部分だけでの評価だが、2019年、2020年ごろに現れた脅威とそれ以前からある脅威にわけることができる。

2019年前後の大きなできごとにコロナパンデミックがある。世界規模のロックダウンは社会生活やビジネスに大きな影響を与えた。当然サイバー攻撃にも影響がでている可能性を示している。初出年度が2019年以降のものは「スマホ決済の不正利用」「偽警告によるインターネット詐欺」「フィッシングによる個人情報の詐取」「メールやSMS等を使った脅迫・詐欺の手口による金銭要求」となっている。

表1:情報セキュリティ10大脅威2024「個人」

オンラインショッピング利用者を狙った攻撃、フィッシング等による偽アプリや偽サイトへの誘導、宅配や通販の配達や請求を偽装した詐欺といった攻撃だ。リモートワークなど、公私ともにPCやスマートフォンに接する時間・機会が増えたことで、決済詐欺、詐欺サイトやアプリ、フィッシングによる被害が高止まりしている。

「ワンクリック請求等の不当請求による金銭被害」という項目は初出が2016年だが、10大脅威への登場は4回。脅威項目の常連ではないが、この2年で増えているということだ。宅配便のSMSや不正アプリの問題はニュースになっているので注意が向きやすいが、普通のサイトやアプリでのクリックへの警戒を怠ると、ワンクリック詐欺の被害にあうかもしれない。

このように被害件数や情報の多さで危険度を判断し、その危険にだけ注意が向いてしまうことは避けたい。IPAが個人向けの順位を廃止したのもうなずける。

組織向け10大脅威のポイント

組織・企業向けの10大脅威はどうだろうか。こちらもコロナ前後という視点でみると、「サプライチェーンの弱点を利用した攻撃」「修正プログラムの公開前を狙う攻撃」「テレワーク等のニューノーマルな働き方を狙った攻撃」あたりが相当しそうだ。だが、これらの攻撃の中身でみると「テレワーク等の……」以外は、パンデミックやロックダウンと直接の関係は薄いといえる。

表2:情報セキュリティ10大脅威2024「組織」

サプライチェーン攻撃の増加は、コロナよりも前から続く企業向けの攻撃の延長と考えることができる。サプライチェーン攻撃には2種類がある。取引先のうち防御が弱いところ、下請けの子会社を標的とする場合と、クラウドサービスやライブラリを汚染させ、製品や正規サービスにマルウェアや脆弱性を忍ばせる場合だ。どちらも業界構造や製造工程のバリューチェーンを利用した攻撃であり、コロナパンデミックや巣ごもり需要で増えたものではない。

「修正プログラムの公開前……(ゼロデイ攻撃)」とは、脆弱性が公開されてから、修正パッチ、セキュリティアップデートが配布されるまでの間に、その脆弱性が利用される攻撃だ。パッチが公開されていても、システムの都合や公開情報を認知していないといった理由で古いバージョンを使い続けるというのは、以前から問題になっている。近年、これが問題になったのは、IoT機器の増加の影響が大きい。IoT機器のセキュリティアップデートは、ソフトウェアよりも困難なことが多い。アップデートまでの時間差が大きくなり、それを見越した攻撃も増える。

予断を許さないランサムウェアと生成AIで進化するBEC

企業・組織向けの脅威で、あらためて注意したいのは、やはりランサムウェアだ。攻撃者側はランサムウェア攻撃のインフラ(RaaS:Ransomeware as a Service)を構築し、ランサムウェア開発者、攻撃用ホスティングサービス、課金インフラ提供、攻撃プラットフォーム運営、アフィリエイター(RaaSユーザー:実行犯)など高度なエコシステムを作っている。

これまで当局は、REvilやLockBitなど巨大なRaaSインフラを摘発し、サイト解体を行っているが、エコシステム全体の根絶には至っていない。多くはRaaSを利用してさまざまな企業に攻撃をしかけるアフィリエイターや実行犯が逮捕されるだけで、サイトは解体したが運営者や開発者まで押さえることができず、類似のランサムウェアが復活しているという報告もある。

もうひとつ、あえて取り上げたいのは、8位の「ビジネスメール詐欺による金銭被害」だ。BECと略されることもある。2018年日本の航空会社が3.8億円もの被害を受けた事例で話題になった。取引先を装った攻撃者とメールのやりとりでだまされ、高額な送金をさせられる。メールアカウントだけでなく、名前や部署、前後の取引内容なども把握してくるので、見抜くことは簡単ではない。

BEC自体が特段に増えているわけではないが、2019年にはCEOの音声をAIによって合成したBECが確認されている。それまではメールの文面で「CEOの指示により振込先を変更します」といった手口が一般的だったが、メールや電話・音声を併用できるようになっている。

22年以降の生成AIの発達により、画像や動画の生成も比較的簡単になっている。以前は、フェイク動画を作るにもAIプログラムのエキスパートがデータとプロセッサを駆使する必要があった。音声や画像の偽造(生成)はできても、それにストーリーを持たせてしゃべらせることは違っていた。しかし生成AIによって、プロンプトの指示だけで動画や音声まで作ることができる。人を騙せるほどのクオリティは簡単ではないが、以前より作りやすくなっている。オンライン会議によるBECも想定しなければならない時代になっている。

参考:
情報セキュリティ10大脅威 2024
https://www.ipa.go.jp/security/10threats/10threats2024.html

REvil復活の可能性を伝えるニュース:
https://cybernews.com/news/as-new-evidence-emerges-experts-wonder-is-revil-really-back/

ディープフェイクによるBEC
https://scan.netsecurity.ne.jp/article/2023/08/30/49879.html