日本IBMは3月8日，IBMのセキュリティエキスパートチーム「IBM Security X-Forece」が2021年1月～12月の1年間に収集した膨大なデータを分析した「IBM Security X-Force脅威インテリジェンス・インデックス2022」の日本語版をリリースしました。本稿では同日行われた日本IBMのプレス向け説明会の内容をもとに，日本と世界をターゲットにするサイバー攻撃の最新動向を紹介しながら，日本企業が取るべきセキュリティアプローチについて見ていきたいと思います。

IBM Security X-Forceとは

IBM Security X-Force（以下，X-Force）は世界でも最大規模のセキュリティ研究開発機関であり，ハッカー，レスポンダー，研究者，アナリストなど，世界10拠点で8000名を超えるセキュリティエキスパートを擁する脅威インテリジェンス中心のチームです。その卓越した専門性でもって，IBMの顧客に対し，インシデント対応やペネトレーションテストなどさまざまなセキュリティサービスやサポートを提供しています。ファシリティのレベルも世界トップクラスで，日本を含め世界8ヵ所にあるセキュリティオペレーションセンター（SOC）で"Follow-the-Sun"オペレーションのもと133ヵ国/5000社に監視サービスを提供，また金融マルウェアに特化した研究所や外部から隔絶された環境で架空のサイバー攻撃を体験するサイバー訓練場なども有しています。

このX-Forceが毎年，ネットワークやエンドポイントの検出デバイス，インシデントレスポンス活動，ドメイン名の追跡など何十億ものデータポイントから観察/分析した膨大なデータを新たなトレンドと攻撃パターンとしてマッピングしたレポートが「IBM Security X-Forceインテリジェンス・インデックス」です。今回紹介する2022年度版は2021年1月から12月にかけてX-Forceが日々の活動から収集したデータをまとめたもので，IBMのサイトでも公開されています。

セキュリティリスクを高める3つの要因

X-Forceのレポート解説の前に，日本IBM 執行役員 セキュリティー事業本部長 小川真毅氏は現在世界が直面しているサイバーリスクには，以下の3つのビジネス環境の変化がひもづいていると指摘しています。

• 加速するDX（デジタルトランスフォーメーション）とハイブリッド/マルチクラウドシフト
• 拡大/複雑化するサプライチェーン
• めまぐるしく変化する国際情勢

これらの3つの変化はいずれもパンデミックでデジタル化のニーズが世界中で急速に拡大したことに起因しています。たとえばクラウドシフトというトレンドは今に始まったものではありませんが，生活のあらゆるシーンでデジタル化が加速し，結果として多くの企業がDXに取り組んだことで，日本も含めた世界各国でクラウドシフトが急激に進みました。しかし主要なインフラの変更や分散はセキュリティホールを生みやすく，サイバー犯罪者により多くの攻撃機会を提供することにもつながっています。環境の変化が急激で，その変化量が大きければ大きいほどサイバー攻撃の可能性は高くなり，加えてロシアのウクライナ侵攻のような全世界のビジネスを巻き込む紛争が発生すればそのリスクはさらに高まることになります。

この1年のサイバー攻撃に見られるトレンドは？

今年のX-Forceのレポートも，こうした環境の変化が脅威のトレンドに大きく影響を与えていることを示す報告となっています。日本IBM セキュリティー事業本部 X-Force 日本責任者 徳田敏文氏は今回のレポートのハイライトとして以下の4つを挙げています。

• 攻撃手法のトップはランサムウェア
• 侵入手口のトップはフィッシングと脆弱性の悪用
• サプライチェーン，製造業，OT，IoTへの脅威
• クラウド，Linuxの脅威が上昇

以下，各ポイントについて概観します。

攻撃手法のトップはランサムウェア

X-Forceの調査では2020年に引き続き，2021年もランサムウェアが攻撃手法のトップで，全体の21％を占めています（2020年は23％⁠）⁠。もっとも多く観測したランサムウェア攻撃者は2年連続で「REvil」（⁠「⁠Sodinokibi」とも呼ばれる）で全体の37％，つづいて「Ryuk」が13％となっています。また，2017年2月以降，法執行機関による逮捕のおそれから10以上のランサムウェア攻撃者グループが活動中止またはブランド名を変更しており，ランサムウェア攻撃者の平均寿命は約17ヵ月とされています。前述のREvilも"もっとも成功した攻撃者のひとつ"とも呼ばれていましたが，2021年10月に31ヵ月（2年半）で活動の終了に至っています。

ランサムウェアといえば，PCやサーバを感染させてディスクの暗号化などを実行し，利用者に対して身代金を要求するタイプの犯罪をイメージしがちですが，徳田氏によれば「金銭の取得に関係なく，データを破壊する，あるいは工場の操業を止めるなど，インフラやデータの破壊を主要な目的としているケース」が増える傾向にあるそうです。ターゲットの企業や組織に破壊的なダメージを与え，広範囲に被害を与えることを第一目的としており，ある意味，金銭取得を目的にした攻撃よりも注意が必要かもしれません。

侵入手口のトップはフィッシングと脆弱性の悪用

企業に最初に侵入する手がかりとして，2021年はフィッシング詐欺が全インシデントの41％（前年33％）を占め，トップに浮上しました。攻撃の手口は，ターゲットとする企業の従業員，あるいは子会社や取引先など関係者の端末（エンドポイント）にキャンペーンや問い合わせなどを装った詐欺メールを送りつけ，場合によっては電話をかけるなどソーシャルエンジニアリングも駆使し，添付ファイルや添付URLなどで誤クリックを誘導，企業ネットワークに侵入するためのID/パスワードの入手を試みます。たとえサプライチェーンの末端のデバイスであっても，いったんアイデンティティの入手に成功すればそこを起点にして他の従業員のアイデンティを盗んだり，社内サーバにマルウェア/ランサムウェアを仕込むなどして，組織やサプライチェーンの内部に深く静かに入り込んでいきます。

この対策として重要なのがパッチマネジメントで，徳田氏は「Windows系サーバのパッチマネジメントはとくに重点的に確認してほしい。攻撃者はパッチが適用されていないサーバを確実に突いてくる」と強調していますが，企業によってはダウンタイムの影響などを考慮してパッチ適用が遅れがちなことも多く，そうした事情が侵入の拡大を助長することにもつながっています。

また，フィッシングに次ぐ侵入手口として挙げられるのが脆弱性の悪用で，全インシデントの34％，2020年に比べて33％の増加を見せています。なかでも特筆すべきが2021年12月に発見されたオープンソースのJavaコンポーネント「Log4j」の脆弱性（CVE-2021-44228 ）悪用で，年末に公開された脆弱性だったにもかかわらず，悪用された脆弱性の第2位にランクされました（現在は収束中⁠）⁠。Log4jのような，一般にひろく普及しているコンポーネントの脆弱性は今後も何年かに一度の頻度で発見されることが予想され，被害を最小化するためにも，「⁠（⁠未知の脆弱性が発見されることを前提に）企業ごとに対策を決めておくことが重要」と徳田氏は指摘しています。