概要
2022年の仕事納めを迎える今日この頃ですが、年末年始にかけて警戒したいサイバー攻撃について考えてたいと思います。
関西でサイバー攻撃、そして現状は?
大阪市住吉区の大阪急性期・総合医療センターでは、2022年10月、身代金要求型のウイルス「ランサムウェア」によるサイバー攻撃を受け、システム障害が発生、電子カルテが使用できなくなりました。その後一部は復旧しましたが、診察室の端末での閲覧や入力はできず、新規の外来や一部の救急患者の受け入れを停止。
それから、1カ月あまりがたって基幹システムが復旧。
12月12日から全ての診察室で電子カルテの閲覧や入力ができるようになったとのこと。
病院でのサイバー攻撃対策は?
全国の病院がサイバー攻撃対策をどこまで取っているのかを調査した結果によると、データの定期的なバックアップをしている医療機関は8割近くありますが、サイバー攻撃を想定した事業継続計画(BCP)を策定しているのは1割に満たない状況です。
今回攻撃を受けた大阪急性期総合医療センターは、BCPを策定していましたが、甚大な被害に遭いました。実際に運用すると、久しぶりに紙のカルテを使うことになった医師の間で、手書きの文字が読みにくいといった問題が発生したということです。
厚労省サイバーセキュリティ初動対応チームは、
「サイバー攻撃は起きるものだと考えて対策を見直す必要がある」と話しています。
大阪市立総合医療センターの医師やシステム担当者らは、
「医療機関の場合、(サイバー攻撃から)復旧までにかなりのお金と時間がかかると。そして、一番は患者さんのデータが失われてしまうと。その辺のところの危機感というのは非常に感じました。」とコメント。今後のセキュリティ対策に生かしたいとしています。
(関西テレビ「報道ランナー」2022年12月12日放送より)
サイバーリスクに対してできることとは?
昨年の2021年の師走に見られたような、Log4J※やExchange※と同様の大きな脆弱性は、2022年の師走にはまだ報告されていない様子ですが、報告された脆弱性に対し公的に割り当てられたCVE※の数は、前年比で増加しているのが現状です。
- ※ Log4j
Javaベースのアプリケーションで頻繁に使用される「API」の1つ。正式名称は「Apache Log4j」。ログを入出力するための便利な機能です。脆弱性が出たのが、Log4jに含まれる「JNDI Lookup」と呼ばれる機能。JNDI Lookupには、ログとして記録された文字列に”特定の文字列”が含まれていた場合、それを変数として置換し、指定したサーバからjava classファイルを読み込み実行してしまうといった特徴があります。この機能を使えば、任意のコード(例えば悪意のあるプログラム)を比較的容易にリモート実行出来てしまうため、とても危険であった。 - ※ Microsoft Exchange Serverの複数の脆弱性に関する注意喚起のこと。
脆弱性が悪用された場合、遠隔の第三者がSYSTEM権限で任意のコードを実行するなどの可能性。
通常、PCの定期更新が正常に行われていれば、マイクロソフトから脆弱性を修正するためのアップデートされている。 - ※ CVE
Common Vulnerabilities and Exposures は、 情報セキュリティにおける脆弱性やインシデントについて、それぞれ固有の名前や番号を付与し、リスト化した事典のこと。
こうしたシステムの脆弱性をつたり、ピンポイントに地域医療の根幹をつく医療サイバー攻撃は年末年始に再び日本のどこかで発生しても不思議ではありません。
折しも水面下で継続しているコロナ感染に季節性インフルエンザ患者が増えるなかで、見えない脅威にどう対処するか。
この対処は経済と生活を守るためにも、全業界や業種にも言えるでしょう。
ハード面でセキュリティシステムを構築するのは、この年末で時間的に無理な話かもしれませんが、
わたしたち個人でできることは、習慣として知っているかどうかで、危機対策になります。
以下の記事は、今年の8月にサイバーリスクを考えるとして記したものですが、この年末年始にも同様の対策をすることが脅威に対する盾となると思います。
最後に、来年のサイバー脅威をアナウンスしているウィズセキュア株式会社(以下、ウィズセキュア)からのリリースニュースを引用して締めたいと思います。
2023年におけるサイバー脅威を取り巻く環境に関する予測
ウィズセキュアは2022年12月15日、同社のセキュリティエキスパートによる、2023年におけるサイバー脅威を取り巻く環境に関する予測コメントを発表しています。
2023年におけるサイバー脅威を取り巻く環境に関する予測
発表された予測は以下のとおり。
自然言語生成モデルがサイバー攻撃者に利用される
サイバー攻撃者は自然言語生成モデル(NLP)※を利用して、説得力のある偽のコンテンツを作成し始めるでしょう。
こうしたモデルは、文法的に正しく、比較的よく書かれたテキストを作り出し、わずかな編集を加えるだけで完全な説得力と信憑性を持つに至ります。
このような方法により、偽物のNGO/シンクタンク/政策関連サイト、そして標的型の高度なソーシャルエンジニアリングキャンペーンで使用されるフェイク企業のWebサイト、LinkedInで標的型フィッシングに使用されるような偽のソーシャルメディアプロフィールの作成に使用される可能性がある。
Andy Patel (アンディ・パテル)
※NLP(自然言語処理)モデルとは、日常で使用する文章や話し言葉における、各単語の出現確率だけでなく、ある単語の後に別の単語が出現する確率を示したもの。わかりやすく言うと、文章の自然さを確率によって表現しているモデルということ。
セキュリティ侵害を通じて、機械学習モデルを盗み出そうという試みが増える
AIモデルの流出や盗難が増えることが予想される。
特に、これらのサービスプロバイダーのほとんどは、ユーザーにアクセス料を課しているためです。
AIによる音声模倣技術が容易に利用できるようになり、ソーシャルエンジニアリング攻撃でより広く使用されるようになると予想されます。
Andy Patel (アンディ・パテル)
クラウドに特化した攻撃が主流に
サイバー攻撃者は、クラウドに特化した攻撃手法をマスターしつつあります。
これまでクラウドで観測される攻撃の多くは、従来の攻撃を「移植」したもの。
クラウドインフラにおけるセキュリティ/監視/制御が難しいという点を突いて、攻撃がおこなわれており、今後はクラウドインフラの弱点/設定ミス/脆弱性などを狙ったクラウドに特化した攻撃が増加していくでしょう。クラウドIAMの考え方は複雑かつ多様であるため、特に保護が難化します。
Leszek Tasiemski (レシェック・タシエムスキー)
データ処理に必要な電力は、サステナビリティの枠において象のような存在となる
データ通信やクラッキングに多くのエネルギーが必要であることを忘れてしまいがちです。
2021年には暗号通貨関連を除いても約600TWh (テラワット時) の電力が消費されました。
企業や個人は、消費電力を削減する方法を模索することになるでしょう。
多くのデータセンターでは、すでに再生可能エネルギーへの転換がかなり進んでいます。
また、今後予想されるのは、コードを実行するインフラだけでなく、ソフトウェア (コード) のエネルギー効率もより重視されるようになることです。
エネルギーやクラウドの価格が高騰しているため、より効率的なソフトウェアが求められ、その効率性が競争におけるアドバンテージになる可能性が高いのです。
最もエネルギーを消費する仕事の1つは、機械学習モデルのトレーニングです。
AI技術アプリケーションのエネルギーフットプリントを最適化する革新的なアイデアが期待されます。
サイバーセキュリティにおいては、マイニングマルウェア/ソフトウェアの検出と除去がより一層求められるようになるでしょう。
Leszek Tasiemski (レシェック・タシエムスキー)
2038年問題は思っているより早くやって来るため、今から準備が必要
2038年問題には、テクノロジーが関連する、予見できる問題/予見できない問題の両方が徐々に露見し始めてきています。
例えば、契約の終了日の計算、大きな買い物をした場合や産業界における保証の有効期限など、2038年が既に問題となるであろうものなどです。
現在、そして今後数年間において起こるであろう最初の問題は、計画/タスク/PKI/その他未来の日付を使用しなければならないシステムに関係するものでしょう。
メディアはこれを大げさに報道する可能性がありますが、それは必ずしも悪いことではありません。
Y2Kの場合、コンピュータが現在ほど多くの人々の生活に密接に関連しておらず、影響も限定的だったため、いい啓蒙活動になったと言えます。
しかし現在私たちが抱える問題は、2000年にCOBOLが使用されていた範囲と比較して、現在は基本的に主要なオペレーティングシステム/ライブラリ/ソフトウェアエコシステムはC/C++で動いているものが遥かに多い、いうことです。
これは、静観していれば通り過ぎていってくれるものではありません。
企業は、自社の中核的なビジネスプロセスの一部として使用されている全てのソフトウェアについて、その場しのぎでない見直しを行い、ベンダーやメーカーが何をしているかを調べ、潜在的な問題を予測するための対話を開始しなければならないでしょう。
また、サポートサービスやサードパーティが使用する技術を見直すためのプロセスが整備されていることを確認する必要があります。事業継続性とディザスタ リカバリの計画は、ほとんどの企業において脅威マップで上位に位置付けられます。
サポートを受けるのに手間がかかったり高価だったり、または不可能だったりする、小規模または特注のソフトウェアに依存してきた企業にとっては、代替手段を探して移行する必要があります。
Tom Van de Wiele (トム・ヴァンドゥウィール)
マルウェアによる攻撃キャンペーンは、人間のスピードから機械のスピードへと移行する
マルウェアの攻撃キャンペーンは、人間のスピードから機械のスピードへと移行していくでしょう。
最も高い能力を持つサイバー攻撃者グループは、単純な機械学習技術を使用して、私たちの防衛手段に対する自動的なリアクションを含め、マルウェアキャンペーンの展開と運用を自動化する能力を獲得するでしょう。
マルウェアの自動化には、不正な電子メールの書き換え、不正なWebサイトの登録と作成、検知を回避するためのマルウェアコードの書き換えやコンパイルなどの技術が含まれるようになると考えられる。
Mikko Hypponen (ミッコ・ヒッポネン)
「Cyber SecurityサウナJapan」ポッドキャスト
https://www.withsecure.com/jp-ja/whats-new/podcasts/japan-podcast-03
おわりに
2022年はウクライナ侵攻と同時に、サイバー犯罪者やランサムウェア犯罪組織にとって、記録に残るサイバー攻撃の新たな年でした。
これらの脅威アクターが、従来型のサイバー防御を回避することを目的として設計された新規でより効果的な戦術で、常に彼らの攻撃をアップグレードしていることは事実です。
その脅威に対して、万全な情報セキュリティ対策を行っても、サイバーリスクをゼロにできるとは限りません。しかし、リスクを抑えることは可能です。
ウィズセキュアが予測するように、サイバー攻撃の手口は時代とともに巧妙さを増していくため、情報セキュリティ対策を常に行っていくことが通常業務の一環であり、セキュリティに対して各個人のリテラシーを培っていく時代なのです。
激動の一年、お疲れ様でした。それでは、良い年末年始をお過ごしくださいませ。
引用参考・関連情報・お問い合わせなど
リリースニュース:
https://www.withsecure.com/jp-ja/whats-new/pressroom/20221215-predictions
□ウィズセキュア株式会社
広報部 秦 和哉
TEL: 03-4578-7745 (直通) 080-6842-8222 (モバイル)
press-jp@withsecure.com
□WithSecureについて
WithSecure™は、ITサービスプロバイダー、MSSP、ユーザー企業、大手金融機関、メーカー、通信テクノロジープロバイダー数千社から、業務を保護し成果を出すサイバーセキュリティパートナーとして大きな信頼を勝ち取っています。
私たちはAIを活用した保護機能によりエンドポイントやクラウドコラボレーションを保護し、インテリジェントな検知と対応によりプロアクティブに脅威を検出し、WithSecureのセキュリティエキスパートが現実世界のサイバー攻撃に立ち向かっています。
WithSecureのコンサルタントは、テクノロジーに挑戦する企業とパートナーシップを結び、経験と実績に基づくセキュリティアドバイスを通じてレジリエンスを構築します。
WithSecureは30年以上に渡ってビジネス目標を達成するためのテクノロジーを構築してきた経験を活かし、柔軟な商業モデルを通じてパートナーとともに成長するポートフォリオを構築しています。
1988年に設立されたWithSecureは本社をフィンランド・ヘルシンキに、日本法人であるウィズセキュア株式会社を東京都港区に置いています。また、NASDAQ ヘルシンキに上場しています。