多様化するランサムウェア攻撃

　本連載でも6月にホンダのサイバー攻撃について取り上げたが、7月16日にはトヨタの取引先である金型メーカーTMW社が「MAZE」と思われるマルウェアの被害を受け、データが流出していると日本経済新聞が報道した。またJPCERT/CCのブログ「CyberNewsFlash」は、「Emotet」の増加について注意を呼びかけている。


　ホンダへのサイバー攻撃は「EKANS」という製造業に特化したランサムウェアが利用されたと思われる。こちらはデータ窃取の機能はなく、データ暗号化やシステム破壊による脅迫を行うタイプ。スピアフィッシングによる標的を絞った誘導メールだけでなく、マルウェアも特定企業やシステムを想定していた。

　TMWに対しては、報道によれば「MAZE」が利用されたとある。MAZEはデータの暗号化だけでなく、データ窃取機能があり、「支払を拒否すると窃取したデータを公表、またはアンダーグラウンド市場に流す」という脅迫を伴う特徴がある。なお報道では、サイバー攻撃は経済産業省外郭団体からの通報で発覚したとある。MAZEや一般的なランサムウェアなら、汚染端末などに直接脅迫メッセージが表示されたり、攻撃者からコンタクトがあったりする。

　報道内容が事実だとしたら、TMWが外部からの通報で攻撃に気づくというのは違和感が残る。MAZEの亜種・改良版が使われたのか、別のマルウェアによるデータ窃取が、NISC、JPCERT/CC、各種業界ISACといった外郭団体への通報、またはそれらによるアンダーグラウンド調査や巡回で発覚したのかもしれない。

業界を問わず被害が拡大、脅迫の仕方や攻撃の目的も変化

　一方、Emotetは2019年に国内で猛威をふるったマルウェアで、データ暗号化の他、標的のメールサーバ情報を奪取し、なりすましによる攻撃メールをばらまき、感染を広げる能力を持っている。攻撃メールは標的の取引先など関係企業や組織に送られるため、被害が広がったという経緯もある。

　標的型攻撃やランサムウェアの被害は、ここ数年安定して増加傾向にあり、統計上では例年どおりという動きになり目立ちにくい。しかし、標的の定番であった病院、金融機関以外の業種に被害が広がっているのも事実だ。また、MAZEやEmotetにみられるように、脅迫の仕方や攻撃の目的も変化が確認できる。

気になる国内攻撃の増加

　一連の攻撃報道や各所からの注意情報、アナウンスをみると、ここにきて日本へのサイバー攻撃が増えているようにも感じる。2020年の攻撃統計などはまだ出ていないので、あくまで感覚的なものだが、2019年ごろより海外から日本への攻撃が増えていると感じる。その裏付けとなりそうな事象は、NICTが毎年公開している「NICTER観測レポート」に見ることができる。

【次ページ】攻撃関連トラフィックは1000億パケット以上増えている