「IoTデバイス固有の脆弱性を狙った攻撃の増加が2018年の特徴だ」。セキュアIoTプラットフォーム（SIOTP）協議会が会員を主な対象として開催している「スキルアップセミナー」の第4回が2019年3月に開催された。「2018年のサイバー攻撃総括と今後の動向」と題したセミナーに講師として登壇したキヤノンマーケティングジャパン セキュリティエバンジェリストの西浦真一氏はIoTデバイスへの攻撃の傾向を冒頭のように説明する。

キヤノンマーケティングジャパンでは総合セキュリティソフト「ESETセキュリティソフトウェア シリーズ」を提供している。また、セキュリティソリューションベンダーとして、サイバーセキュリティに関する研究を担うマルウェアラボを中核に、最新の脅威やマルウェアの動向の情報収集および分析を実施し、セキュリティ対策に必要な情報やレポートを公開している。セミナーでは2018年12月版のレポートに掲載した統計をもとに、2018年のマルウェアの検出統計、サイバー攻撃の振り返り、2019年の予測と対策などを解説した。

日本と世界で異なるマルウェアの検出状況

2018年に日本で最も多く検出されたマルウェアは、マイクロソフトのオフィスソフトなどを対象にした「VBA/TrojanDownloader.Agent」で、約12％を占めた。ところがこの傾向は日本固有のもの。VBA/TrojanDownloader.Agentの世界の検出数の約20％を日本が占めている。西浦氏は「日本が圧倒的に1位で、日本に向けたキャンペーンが実施されていたと考えられる」と分析する。

一方、全世界では「JS/CoinMiner」（コインマイナー）と呼ぶ仮想通貨のマイニング（発掘）を行うマルウェアがトップシェアを占めた。全世界の検出数の割合ではロシアが8％と最大だが、全世界で満遍なく検出されている。

こうしたことからも、2018年のサイバー攻撃で仮想通貨関連の脅威が増大していることがわかる。仮想通貨関連のマルウェアは、他者のコンピューティングリソースを勝手に使って仮想通貨を得るなどの機能を持つ。「1,600以上もあると言われる仮想通貨の中で、MONEROと呼ぶ仮想通貨がコインマイナーの被害に多く遭っている。匿名性が高いことが主な要因で、63億円もの価値が攻撃で生み出されているという報告もある」（西浦氏）。またコインチェックが運営する仮想通貨が大量に盗まれる事件も多く発生した。ただし、仮想通貨関連の脅威, 特に他者のコンピュータリソースを勝手に使用する不正マイニング（クリプトジャッキング）の被害に関しては、「仮想通貨の価格が落ち着いているので、2019年には攻撃も落ち着くかもしれない」と見る。

サービス化で下がるサイバー攻撃のハードル

また2018年の振り返りとして西浦氏は、仮想通貨関連以外に「不特定多数を狙ったメール攻撃」「特定の標的を狙った攻撃」をトピックに掲げる。

まず、不特定多数を狙ったメール攻撃が増えていることの1つの要因として、攻撃のサービス化（CaaS、Crime as a Service）の登場を指摘する。「ランサムウエアを提供するRaaS、フィッシングを提供するPhaaSなどが登場し、サイバー攻撃もサービスインフラの作成、提供者と、実際の攻撃者が異なるようになってきた。PhaaSでは安いプランだと3米ドルぐらいのサービスがあり、小学生の小遣いでもフィッシングサイトが作れてしまう」と、サイバー攻撃のハードルが下がっていることを指摘する。

もう1つ、2018年9月ごろから国内でも顕著になっているメール攻撃として、「セクストーション詐欺メール」があるという。これは、性的なゆすりを意味するもので、「マルウェアを使って（性的な動画などの）閲覧者の動画を撮影したので、削除の対価として金銭を支払え」といった内容だ。世界では古くから確認されていたタイプの詐欺メールだが、国内では最近になって観測が増えているという。

また、特定の標的を狙った攻撃としては、「ビジネスメール詐欺」と「APT攻撃」を例に上げた。取引先などを装ったニセの電子メールを送りつけて金銭的な被害をもたらすビジネスメール詐欺は、実際にありそうなドメインを取得したり、CEOの名前を騙ったりしてメールを送るなど手口が巧妙化。対策を講じていても被害に遭うことが増えているという。また、高度で持続的な脅威を意味するAPT（Advanced Persistent Threat）も増加している。大企業や政府機関、社会インフラなどをターゲットとして、機密情報の窃取、重要システムの破壊を行う脅威で、最近では窃取だけでなくシステムの破壊を伴うケースも見られることから細心の注意が必要になると説明があった。

IoTデバイス固有の脆弱性が狙われる

2018年のこうした状況に基づき、西浦氏は2019年に起こりうる脅威として予測し、備えるべきものとして以下の3点を掲げる。（1）APT攻撃の侵入先が変化、（2）機械学習の悪用、（3）IoTデバイスへの攻撃－－である。

APT攻撃の侵入先の変化としては、サプライチェーンへの攻撃の増加を挙げる。政府機関や大企業などはセキュリティ対策を強化しており正面突破が難しい。それならば、業務委託先などサプライチェーンの中でセキュリティが弱い組織を踏み台にしようという攻撃方法の変化である。「欧米に比べて、日本では委託先のセキュリティ対策について認識が高くない」（西浦氏）こともあり、一層の注意が必要になりそうだ。

機械学習の悪用も、今後の対応が求められるもの。例えば、セキュリティ対策の解析を回避するために機械学習を用いた可能性がある事例が登場しているほか、Webカメラの画像や音声から機械学習で標的を識別し、狙った標的にだけマルウェアなどを発動させるといった手法も登場する可能性があるという。

IoTデバイスへの攻撃として西浦氏は、「攻撃者にとってIoTデバイスは攻撃のための貴重な資源として取り合いになっている」と指摘する。攻撃に対して無防備なIoT機器が多く、一定のセキュリティがあるパソコンよりも狙われやすい上に、これまでのデフォルトID/パスワードをついた攻撃だけでなく、それぞれのIoTデバイス固有の脆弱性を狙った攻撃が増えていると説明する。

こうした中で、西浦氏は「情報収集と情報共有」が欠かせないと指摘。「脅威情報の収集と共有がまず必要だ。それも組織内だけでなく組織間でも実施することが望ましい。特に、同業他社は同じ脅威にさらされがちで、情報を共有するメリットがある。また、攻撃者の戦術を知ることも重要。相手にコストがかかる（攻撃者にとって痛みがある）ような根幹部分で対策を練り、攻撃者が対応しにくいようにすることが求められる」と、今後のセキュリティ対策の方向性を示した。

セキュアIoTプラットフォーム協議会では、IoTのセキュリティに関するスキルアップセミナーを定期的に開催している。次回の開催など詳細は、セキュアIoTプラットフォーム協議会Webページにあるイベント情報ページで確認して欲しい。